Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 2632 views
  • Users 0 members are here
Options
Suggested

[9.060][ANSWERED] Can't block MAC address traffic on different subnet

Billybob
Hi, the MAC address of my interanal interface is 00:0c:29:e7:c6[:D]5 .The way the firewall works is that all the traffic passes through the default gateway if the destination is masqueraded. So if you define the destination MAC and try to block, traffic is not blocked since the traffic is sent to the astaro interface first.
Screenshot:
1. Define MACs
2. Block Traffic by source MAC, it works.
3. Block by destination MAC, it doesn't work because astaro's interface is used due to masquerading.

Regards
Bill
Parents
  • 0
    Hi Bill,

    When you configure your packet filter rule using the MAC address, that is referring to the MAC source. An easy way to find that out is to run the command: iptables-save | grep [your mac address]. For example:

    #iptables-save | grep 11:11:2A:3B:4C:5D
    -A USR_FORWARD -s 1.1.1.1/32 -m mac --mac-source 11:11:2A:3B:4C:5D -j CONFIRMED

    Blocking by MAC address destination is currently not supported, so it is not because of masquerading.
    Cheers,
  • 0 in reply to Tinkerbell
    ...Blocking by MAC address destination is currently not supported, so it is not because of masquerading...

    Well this means that if you dnat any traffic, you can't use MAC filtering. If you use proxies, you can't use MAC filtering. This feature is looking more and more like a bullet point on the feature list than a functional capability.

    Regards
    Bill
Reply
  • 0 in reply to Tinkerbell
    ...Blocking by MAC address destination is currently not supported, so it is not because of masquerading...

    Well this means that if you dnat any traffic, you can't use MAC filtering. If you use proxies, you can't use MAC filtering. This feature is looking more and more like a bullet point on the feature list than a functional capability.

    Regards
    Bill
Children