Фильтрация MAC используя Iptables в Linux

Я уже рассказал о том, как можно себя защитить от различных атак. Иногда, приходиться додумывать различные методы использования защиты, т.к СА (системный администраторы) зачастую закрывают все порты ( не все конечно. Открытые используются для работы). При этом, клиенты хотят использовать сервер из вне ( подключаться к нему и работать). А бывает так, что вообще нужно забанить определенную особь. При статическом IP на стороне клиента, трудно угадать какой ИП разрезать/запрещать — в такой ситуации хорошо подойдет MAC-фильтрацию через IPTables.

Iptables имеет модуль, который обеспечивает MAC-фильтрацию пакетов на определенные порты. Эта статья «Фильтрация MAC используя Iptables в Linux» покажет как можно использовать данный модуль на готовых примерах.

Разрешить полный доступ к конкретной MAC

Ниже команда которая позволит работать со всеми портами для определенного MAC-адреса (например 5D:E5:66:B4:44:3A).

# iptables -I INPUT -m mac --mac-source 5D:E5:66:B4:44:3A -j ACCEPT

Разрешить/Запретить SSH доступ к определенным MAC

С IPtables можно разрешать и запрещать подключения к серверу через mac-адрес.

Разрешить SSH доступ к определенным MAC.

Ниже команда разрешит доступ на сервер через SSH (порт 22) с MAC-адресом 5D:E5:66:B4:44:3A.

# iptables -I INPUT -p tcp --dport 22 -m mac --mac-source 5D:E5:66:B4:44:3A -j ACCEPT

Запретить SSH доступ к определенным MAC.

Ниже команда запретит доступ на сервер через SSH (порт 22) с MAC-адресом 5D:E5:66:B4:44:3A.

# iptables -I INPUT -p tcp --dport 22 -m mac --mac-source 5D:E5:66:B4:44:3A -j REJECT

Ограничить SSH для всех, кроме специфического MAC

Ниже команда позволит получить SSH доступ (порт 22) для системы, имеющие физический адрес 5D:E5:66:B4:44:3A.

# iptables -I INPUT -p tcp --port 22 -m mac ! --mac-source 5D:E5:66:B4:44:3A -j REJECT

На этом все, я завершаю свою статью «Фильтрация MAC используя Iptables в Linux».