防火墙没有MAC地址

如果防火墙的唯一目的是检查和丢弃数据包，则没有理由拥有MAC地址。 我的意思是，如果一个MAC地址是为设备提供一个本地（唯一的）标识符，其他设备可以用来与之通话的话。 因为实际上，他们只是想通过它来谈论它，它并不是真的需要一个。

在实施细节方面，最好的是假装它不在那里（可能违反标准）。 例如，拿一个包。 检查它，如果它看起来不错，转发它未经修改。 如果看起来不好，就像没事发生一样。

这是如何做到的，很容易回答。 如果您需要通过IP作为目的地可达，您只需要一个MAC。 不是简单的数据回显任务（就像一个简单的集线器，或者像一个非托pipe交换机一样）。

作为一个防火墙，你不需要回应/转发所有的东西，只需要打开的端口。

主机的接口可以分成“网桥” – 相当于以太网集线器，只需将一个接口上传入的所有内容重新转换为其他接口即可。 所有的接口工作在所谓的“混杂”模式，尽pipe目的地MAC / IP地址完全接收每个传入的数据包。 主机内部有桥接器和数据包filter，称为过滤桥。

在vlans被填充之前，过滤桥梁是一种常见的做法。 它们允许以各种方式分离子网，并使用复杂的规则集来过滤stream量。 实际上，具有vlans的现代交换机 – 是内部具有相同逻辑的相同的过滤桥。

桥接的混杂接口不通过ARP方式来广播它们的MAC / IP，因此主机变成“隐形主机”，不可见，无法访问，只能通过控制台进行pipe理。