体の発達

体の発達

このようなブリッジには3つのインターフェイスがあります。

auto br0
iface br0 inet static
    bridge_ports enp0s10 wlx00e032800384 wlx08beac0a6c1d
    address 192.168.1.31
    netmask 255.255.255.0

オープンAPが3番目のインターフェイスで実行されています。まず、MACアドレス1つを除くすべてをブロックしたいと思います。私はこれがトリックを実行すると思います(そしてそのインターフェイスのすべてをAPボックスのsshに限定します)

iptables -A INPUT -i wlx08beac0a6c1d -m mac ! --mac-source 00:30:65:05:9F:4D -j DROP
iptables -A INPUT -i wlx08beac0a6c1d -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o wlx08beac0a6c1d -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i wlx08beac0a6c1d -j DROP
iptables -A OUTPUT -o wlx08beac0a6c1d -j DROP

しかしそれは真実ではない。

私の考えでは、その理由はiptables私がbr0個々のインターフェースだけを見て気にしないからだと思いますか?これを行う方法はありますか?

1つの方法は、オープンAPを別のサブネットに配置してから、何とか2つのサブネット間をルーティングすることです。

答え1

はい、physdev:

体の発達

このモジュールは、ブリッジデバイスのスレーブであるブリッジポートの入出力デバイスと一致します。このモジュールは、透明なブリッジングIPファイアウォールを実装するインフラストラクチャの一部であり、2.5.44以降のカーネルバージョンにのみ役立ちます。

[!] --physdev-in名前
パケットを受信するブリッジポートの名前(ブリッジポートに着信するパケットにのみ適用)入力する今後そして事前ルーティングチェーン)。インターフェイス名が「+」で終わると、この名前で始まるすべてのインターフェイスが一致します。パケットがブリッジデバイスを介して到着しない場合、「!」を使用しない限り、パケットはこのオプションと一致しません。
[!] --physdev-out名前
パケットが送信されるブリッジポートの名前(受信ブリッジパケットの場合)今後そして背面配線チェーン)。インターフェイス名が「+」で終わると、この名前で始まるすべてのインターフェイスが一致します。
[!] --physdev-is-in
パケットがブリッジインターフェイスを介して入った場合、一致します。
[!] --physdev-exited
パケットがブリッジインターフェイスを通過する場合は一致します。
[!] --physdev-is-bridged
パケットがブリッジされ、ルーティングされない場合は一致します。これはFORWARDおよびPOSTROUTINGチェーンでのみ有用です。

関連情報