Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 2632 views
  • Users 0 members are here
Options
Suggested

[9.060][ANSWERED] Can't block MAC address traffic on different subnet

Billybob
Hi, the MAC address of my interanal interface is 00:0c:29:e7:c6[:D]5 .The way the firewall works is that all the traffic passes through the default gateway if the destination is masqueraded. So if you define the destination MAC and try to block, traffic is not blocked since the traffic is sent to the astaro interface first.
Screenshot:
1. Define MACs
2. Block Traffic by source MAC, it works.
3. Block by destination MAC, it doesn't work because astaro's interface is used due to masquerading.

Regards
Bill
Parents
  • 0
    Hi Bill,

    When you configure your packet filter rule using the MAC address, that is referring to the MAC source. An easy way to find that out is to run the command: iptables-save | grep [your mac address]. For example:

    #iptables-save | grep 11:11:2A:3B:4C:5D
    -A USR_FORWARD -s 1.1.1.1/32 -m mac --mac-source 11:11:2A:3B:4C:5D -j CONFIRMED

    Blocking by MAC address destination is currently not supported, so it is not because of masquerading.
    Cheers,
  • 0 in reply to Tinkerbell
    ...Blocking by MAC address destination is currently not supported, so it is not because of masquerading...

    Well this means that if you dnat any traffic, you can't use MAC filtering. If you use proxies, you can't use MAC filtering. This feature is looking more and more like a bullet point on the feature list than a functional capability.

    Regards
    Bill
  • 0 in reply to Billybob
    Apologies for the rant... I was looking at the traffic from server point of view. I guess same rules can be applied on the client side where they would work every time. It will take some extra work specially when users roam within different networks but still doable.

    Regards
    Bill
Reply Children
No Data