Как в centos фильтровать по маске MAC-адреса?

Question

[Константин]

Как настроить сброс пакетов в iptables для МАСКИ MAC-адресов? centos 6.5_x86
Наподобие

iptables -A INPUT -m mac --mac-source 00:0С: **-**-**-** -j DROP

Надо избавить в складской сети от всяких андроидов и т.д. и т.п.

Идея в том, чтобы перевести dhcp с windows на centos и сделать запрет на ВСЕ левые мобильные устройства на ID вендора. Заносить каждый ПК и нужный мобильный терминал - занятие страшное.

Answer 1

[Алексей Черемисин]

На dhcp (линукс) настроить классы и прописать мемберов - будет давать IP только правильным устройствам. Я подозреваю, что в микрософтовском dhcp тоже классы имеются.
У меня в dhcpd.conf примерно так. И не нужно никаких ip/ebtables!

.....
class "MySecretClass1"
{
  match if (substring( option vendor-class-identifier, 0, 6)="Huawei");
}
......
subnet 192.168.0.0 netmask 255.255.255.0 {
....
	pool {
	    range 192.168.0.14 192.168.0.254;
	     allow members of "MySecretClass1";
	     allow members of "MySecretClass2";
	     allow members of "MySecretClass3";
        }
.....
}

Answer 2

[Алексей Черемисин]

Если хотим работать именно по MAC, то лучше подойдут ebtables
Краткое описание с примерами здесь xgu.ru/wiki/ebtables
В конце статьи ссылки на расширенные примеры

Ну а лучший вариант - настроить dhcp-snooping + IP-MAC-Port Binding на коммутаторах и раздавать IP только зарегистрированным устройствам.

Answer 3

[Константин]

@leahch
спасибо!сейчас гляну edtables
фильтрация нужна для wi-fi сети
на коммутаторах сделать пока возможности нет, так как существует каша =)
установили wi-fi сеть на складе в 5000 м^2 на motorola rfs6000, но в одной удаленной точке склада есть стандартная точка vigor, к которой не применяются l2-acl с motorola и таджики успевают загадить аренды dhcp своими телефонами.
*windows-dhcp кривит по-страшному