Dotaz: Nastavení firewallu = filtrování blokování podle MAC adresy

Zdravím,

mám domácí "server" a na něm tento firewall.

INET_ADR=`ifconfig enp3s0 | grep 'inet addr:' | cut -d: -f2 | awk '{ print $1 }'`
echo $INET_ADR

#enp3s0 - venkovni sit enx0050b608da65
#enp2s0 - vnitrni sit
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -A POSTROUTING -t nat -o enp3s0 -j SNAT --to $INET_ADR

iptables -A INPUT -i tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -j ACCEPT
iptables -A POSTROUTING -t nat -o tap0 -j SNAT --to $INET_ADR

iptables -A INPUT -i lo -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i enp3s0 -p icmp -j ACCEPT

iptables -A INPUT -i enp2s0 -j ACCEPT

iptables -A INPUT -i enp3s0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 65022 -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 22 -j ACCEPT

#minecraft
iptables -A INPUT -i enp3s0 -p tcp --dport 25565 -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 25560 -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 25550 -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 25555 -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 25500 -j ACCEPT


iptables -A FORWARD -i enp3s0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i enp2s0 -j ACCEPT

echo "1" > /proc/sys/net/ipv4/ip_forward

Vše mi funguje jak potřebuju, teď jsem ale narazil na nový požadavek ze strany manželky - blokovat určitá zařízení. Snažil jsem se to vyřešit pomocí řádku:

iptables -A INPUT -i enp2s0 -m mac --mac-source mac_adresa -j REJECT

který jsem strčil před #minecraft. Bohužel po reloadu script se nic nestalo a zařízení si komunikuje vesele dál.

Zkusil jsem na jiném stroji použít ufw, povolil jsem všem přístup na port 80 a pak zkusil zařízení s určitou mac přístup zakázat. Zase se nic nestalo . Jde to vůbec řešit nějak operativně abych nemusel vždy reloadnout celý script pro firewall? Kdyby náhodou někdo něco stahoval, asi se mu stahování přeruší.

Do budoucna plánuji takto blokovat přístup pro určitá zařízení podle složitějších podmínek (denní doba, přístup jen v určitém časovém období atd.), proto bych potřeboval řešit nastavování pravidel bez restartu celého firewallu. Jde to? Jak? Možná jsem práci s iptables pochopil úplně blbě , googloval jsem jako šílený, ale žádné příklady mi nefungovaly .

Blokování dle MAC je hovadina.

MAC se mění a bude vždy odpovídat poslednímu zařízení před serverem (předpokládám že tam je nějaký router a před ním jsou ty zařízení).

Trochu se to dá v vlastní síti řešit pomocí DHCP serveru že budeš dle MAC přidělovat IP a pak blokovat příslušné IP.

Možná kdyby jsi napsal proč to chceš dělat trochu podrobněji - co je účelem tak by možná někdo poradil něco lepšího.

Kromě toho, že budete potřebovat ošetřit INPUT i FORWARD, bych asi zkusil místo REJECT použít spíš DROP. Ono není moc jasné, jak přesně by se v tomhle případě (v kombinaci s podmínkou, která testuje linkovou hlavičku) ten REJECT vlastně měl chovat (to bych se musel podívat do zdrojáků a tolik času se mi nad tím trávit nechce).

Tohle jsem doma vyřešil Mikrotikem, umí access-listy na MAC adresu pro wifi a u něj i "od kdy do kdy co platí".
Konkrétně: v managementu Mikrotiku vidím, kdo je na wifi, jakou má MAC adresu a pro ni přímo můžu aplikovat pravidlo, u pravidla můžu mít i description pro přehled. Pro přehlednost můžu i v oněch klientech nastavit natvrdo IP adresu a i takhle je identifikovat. Pro wifi lze zadat i zda se bude uživatel autentikovat (komunikovat s AP) a zda bude mít stav forward (dostane se dál ze svého zařízení).
Umí to už ten snad nejlevnější Mikrotik.