https://www.opennet.ru/openforum/vsluhforumID6/9820.html Суть задачи такая. Есть две локальные сети между которыми стоит брэндмауэр. На брэндмауэре настроен bridging для двух сетевых карт eth0 - 1 сеть, eth1 - вторая сеть. Во второй сети (и соответственно в первой т.к. диапазоны адресов одинаковые) используется DHCP.<br><br>Нужно фильтровать трафик идущий через брэндмауэр с помощью правил iptables. Экспериментально выяснилось что при использовании бриджинга устройств eth0, eth1 как бы и нет, есть одно устройство br0 и через него идет весь трафик, причем ключи --in-inteface и --out-interface роли играть не будут.<br><br>Т.к. DHCP, то фильтровать можно только по MAC-адресам в первой сети, любой трафик из второй сети должен идти беспепятственно.<br><br>Собственно первое что на ум пришло это:<br>iptables -P FORWARD DROP<br>iptables -A -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT<br><br>Т.е. запретить весь форвард-трафик и пользователям первой сети явно выдавать разрешение. Но фишка в том чтобы, как-то разрешить весь трафик из второй сети, ведь критерия --mac-destination нет и интерфейс https://www.opennet.ru/openforum/vsluhforumID6/9820.html#2 Fri, 24 Oct 2008 21:28:01 GMT &gt;Если кому интересно, проблема легко решилась с переходом на ebtables вместо iptables, <br>&gt;там есть критерии для mac-адреса как источника так и получаетля. <br><br>+1<br> https://www.opennet.ru/openforum/vsluhforumID6/9820.html#1 Fri, 10 Feb 2006 09:02:43 GMT Если кому интересно, проблема легко решилась с переходом на ebtables вместо iptables, там есть критерии для mac-адреса как источника так и получаетля.