我有一台Linux机器(我的工作站)。 从那里我可以ping其他本地机器,比如说192.168.1.22。 假设我想禁止通过它的MAC地址与192.168.1.22进行通信。 我正在尝试一个简单的规则:
ebtables -I INPUT -s 00:24:1d:c9:0a:27 -j DROP 但是我仍然可以ping该主机。 ebtables是否仅限于桥接接口上的stream量过滤?
是的,ebtables只对遍历桥接口的帧起作用。 但是,您可以执行良好的分层违例,并使用-m mac –mac-source iptables选项。
每当我做任何事情都与netfilter复杂,我保持这个图接近手: http : //jengelh.medozas.de/images/nf-packet-flow.png
雷神,你的build议是正确的,正在工作。 我justedtesting它。
您可能需要更新桥接接口本身的桥接接口,以确保您不会绕过桥接。
ip route del 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.1 ip route add 192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1