Почему еbtables пропускает трафик от других хостов?

Question

[Павел Каптур]

Всем здравствуйте, я столкнулся с проблемой, мне необходимо сделать так, что бы на сервера, которые крутятся на proxmox 4, могли попасть только люди с определенными мак адресами. Все виртуальные машины крутятся на сервере и доступны через интерфейс vmbr0. Для этого я решил воспользоваться ebtables. Установил пакет в систему (изначально его не было) и принялся настраивать и добавил следующие правила

ebtables -A INPUT -s 48:5B:39:5A:A1:C8 -j ACCEPT
ebtables -A OUTPUT -d 48:5B:39:5A:A1:C8 -j ACCEPT
ebtables -P INPUT DROP

, но с другого хоста я все равно могу подключаться к серверам. Почему? где я ошибся?

вот так выглядит ebtables -L

Answer 1

[Руслан Федосеев]

трафик к серверам идет сквозь сервер. т.е. FORWARD

Comments

[Павел Каптур]

а в форварде надо будет две записи делать для каждого ip? одна для destination, одна для source?

[Руслан Федосеев]

ну если вам нужно перекрыть доступ к серверам - откройте от разрешенных маков, откройте от серверов, закройте все
Последнее можно заменить установкой политики по умолчанию ;)

[Павел Каптур]

Руслан Федосеев: не, я немножко о другом я делал настройку для d и s, для FORWARD надо делать так же?
ebtables -A FORWARD -s 48:5B:39:5A:A1:C8 -j ACCEPT
ebtables -A FORWARD -d 48:5B:39:5A:A1:C8 -j ACCEPT
ebtables -P FORWARD DROP

[Руслан Федосеев]

ну вообще вот эта последовательность разрешит трафик от указанного мака и к указанному маку. А все остальное запретит.
Если это мак из списка разрешенных - то только этот мак получит доступ к вашм серверам. Но. И сервера смогут общаться ТОЛЬКО с этим маком. Интернета у них не будет.

[Павел Каптур]

Руслан Федосеев: а у меня и нет интернета))

Answer 2

[Пума Тайланд]

Маки видны только если сервер в одной подсети с клиентом.

Comments

[Павел Каптур]

забыл написать, сеть одноранговая