Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 2630 views
  • Users 0 members are here
Options
Suggested

[9.060][ANSWERED] Can't block MAC address traffic on different subnet

Billybob
Hi, the MAC address of my interanal interface is 00:0c:29:e7:c6[:D]5 .The way the firewall works is that all the traffic passes through the default gateway if the destination is masqueraded. So if you define the destination MAC and try to block, traffic is not blocked since the traffic is sent to the astaro interface first.
Screenshot:
1. Define MACs
2. Block Traffic by source MAC, it works.
3. Block by destination MAC, it doesn't work because astaro's interface is used due to masquerading.

Regards
Bill
Parents
  • 0
    Ok so the wording is wrong in the WebAdmin, should better be "Source MAC Addresses".

    Whats the additional value by filtering forwarding traffic by destination MAC instead of just Layer3? So what you really want are static MAC entries on the UTM for certain hosts, so nobody can spoof these ARP entries?
  • 0 in reply to da_merlin
    I am not saying that there is something special about destination MAC filtering. My argument is that what makes webadmin/ Firewall filtering so easy right now is that an admin could be thinking from the client side or the server side, once he implements a block rule, the traffic is blocked regardless. With MAC filtration that option is not available and will cause confusion.

    Static MAC entries is not a bad idea if they help against ARP poisoning. You wouldn't believe how widespread the use of tools like netcut is in places where accountability can't be enforced.

    Regards
    Bill
Reply
  • 0 in reply to da_merlin
    I am not saying that there is something special about destination MAC filtering. My argument is that what makes webadmin/ Firewall filtering so easy right now is that an admin could be thinking from the client side or the server side, once he implements a block rule, the traffic is blocked regardless. With MAC filtration that option is not available and will cause confusion.

    Static MAC entries is not a bad idea if they help against ARP poisoning. You wouldn't believe how widespread the use of tools like netcut is in places where accountability can't be enforced.

    Regards
    Bill
Children
No Data