Блокировать список mac по iptables?

Question

[Денис Сечин]

Есть такая схема, пользователь вводит мак адрес своего устройства в специальную программу, потом эта программа записывает его мак в файлик block.txt. Мне нужно drop-ать маки в этом файлике через iptables FORWARD. Как это провернуть? Спасибо

Comments

[Moris Haos]

Привет,
А как часто этот файл меняется? Там дна строка или много? Дропать этот мак-адрес надо сразу после поступления его в файл или с какой-то другой периодичностью? А если этого mac-а не стало в файле, то что делать надо с правилом - очищать или нет?

[Денис Сечин]

Moris Haos, Много строк, будет меняться в зависимости от клиентов, также файлик должен очищаться этой же программой. крон будет перезапускать iptables раз в 10 мин для применения дропов для новых маков в файлике

Answer 1

[Fixid]

https://www.cyberciti.biz/tips/iptables-mac-addres...

Comments

[Денис Сечин]

Мне нужно чтобы было правило типа -А forward block.txt -j DROP, в файлик block.txt прилетают маки из карточек клиентов специальным скриптом. В этой ссылке нужно все делать вручную, мне это не подходит

[Fixid]

Денис Сечин, так пускай программа запускает (или по cron) банальный bash который построчно разберет этот файл и пропишет в iptables. Там максимум 10 строчек

[Денис Сечин]

И будет 150 записей в iptables, костыль...

[Fixid]

Денис Сечин, таков iptables. Ему особо не принципиально 150 правил в одной строчке или 150 строчек

[Moris Haos]

Денис Сечин, а в чем костыль тогда?
Прилетело в файле 150 строчек mac-ов, разобрали файл скриптом, получили 150 строчек, flush-нули, стартанули новые правила через 10 минут. И так по кругу...

Answer 2

[Максим Гришин]

Лучше используйте ebtables для этого, она как раз работает на втором уровне.