操作系統 CentOS6.4 x86_64
iptables限定只能連接指定的IP和MAC的目標是:主機連接外面的設備時,要指定IP和MAC,防止外面入侵交換機,將包轉發到另外一臺不同MAC的設備。
首先要理解iptables的state四種狀態
NEW,ESTABLISHED,RELATED,INVALID。
NEW狀態:主機連接目標主機,在目標主機上看到的第一個想要連接的包
ESTABLISHED狀態:主機已與目標主機進行通信,判斷標準只要目標主機迴應了第一個包,就進入該狀態。
RELATED狀態:主機已與目標主機進行通信,目標主機發起新的鏈接方式
INVALID狀態:無效的封包,例如數據破損的封包狀態
配置方式:
1、屏蔽默認的-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
因爲此語句表示所有已經建立連接的包都可以進來,那麼主機連接外面的IP之後,如果因爲攻擊,實際連接到錯誤的設備上,主機是無法知道的,此時卻能正常通信。
而iptables不能指定目標的MAC地址,因爲目標MAC地址是由二層處理的,上層發送包,只能限定發送的目的IP
2、添加與目標設備之間的防火牆規則
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -s 目標IP -m mac --mac-source 目標MAC -j ACCEPT
此種方式設置之後,主機與外部所要通信的設備,都要在防火牆裏面配置,否則無法建立連接