Как добавить белый список маршрутизации на основе MAC с DD-WRT и клиентом OpenVPN?

Question

На моем домашнем маршрутизаторе DD-WRT настроен клиент OpenVPN, который поддерживает VPN на моем рабочем месте.

Небольшая проблема: я не хочу, чтобы случайные пользователи, которые получают доступ к моей беспроводной точке доступа, имели доступ к VPN моей компании. (да, это защищено приемлемо хорошо, но у меня есть причина предпринять дальнейшие шаги.)

Можно ли убедить iptables запретить маршрутизацию на все исходные MAC-адреса, кроме избранных, которые я указываю? Я попытался использовать параметр --mac-source следующим образом:

iptables -I FORWARD -i br0 -o tap0 -j REJECT
iptables -I FORWARD -i br0 -o tap0 -j ACCEPT --mac-source 00:01:02:03:04:05

Правило REJECT работает, а правило ACCEPT - нет. (обратите внимание, что параметр -I используется для того, чтобы правило ACCEPT предшествовало правилу REJECT .)

Кто-нибудь еще имел опыт создания такого белого списка?

Answer 1

Насколько я понимаю, ваша проблема заключается в том, что MAC-адреса являются только допустимым параметром для таблиц PREROUTING и POSTROUTING. Я сделал это следующим неуклюжим образом ...

1. В таблице предварительной маршрутизации на входящем интерфейсе из локальной сети выберите MAC-адрес устройства, которое вы хотите пропустить, и используйте DNAT, чтобы изменить IP-адрес на один из ваших вариантов, который в противном случае не использовался бы.

   -A PREROUTING -i eth1 -m mac --mac-source xx:xx:xx:xx:xx:xx -j DNAT - к 192.168.2.200 -m комментарий - комментарий "машина должна быть разрешена"

2. В таблице FORWARD установите правило для принятия этого IP-адреса с политикой для FORWARD, чтобы в противном случае отбрасывать весь трафик.

   -A ВПЕРЕД -s 192.168.2.200 -j ПРИНЯТЬ