数据的安全性总是在系统管理员的优先事项。系统管理员总是将所有公共的或不是必需的端口保持关闭。但有些时候,我们需要在通过远程登录,使我们的一些外部用户或客户端能够访问服务器。在这种情况下,我们需要打开防火墙端口。一般来说,我们使用IP地址来允许/iptables的通过一个客户端,但它不是必要的,每个客户网络都有自己的一面静态IP地址。在这种情况下,其很难时时为自己的IP打开端口。在这种情况下,我们可以使用在iptables的基于MAC过滤,因为我们知道,MAC地址是固定不变的。 MAC地址是也知道作为网络接口卡的物理/硬件地址。 iptables有一个模块,提供特定端口的数据包的基于MAC过滤。本文将帮助你如何配置iptables来过滤基于MAC地址的流量。
1.允许特定MAC完全访问
以下命令将允许所有端口访问其物理地址 3E:D7:88:A6:66:8E。
# iptables -I INPUT -m mac --mac-source 3E:D7:88:A6:66:8E -j ACCEPT
2.允许/拒绝特定的MAC SSH访问
以下命令将允许SSH访问(端口22)具有物理地址 3E:D7:88:A6:66:8E。
允许:
# iptables -I INPUT -p tcp --dport 22 -m mac --mac-source 3E:D7:88:A6:66:8E -j ACCEPT
拒绝:
# iptables -I INPUT -p tcp --dport 22 -m mac --mac-source 3E:D7:88:A6:66:8E -j REJECT
3.限制SSH连接到任何人,除特定的MAC
以下命令将允许SSH访问(端口22)具有物理地址 3E:D7:88:A6:66:8E。
# iptables -I INPUT -p tcp --port 22 -m mac ! --mac-source 3E:D7:88:A6:66:8E -j REJECT
参考文献: 关于MAC地址:
http://en.wikipedia.org/wiki/MAC_address iptables:
http://en.wikipedia.org/wiki/Iptables
