OpenWrt设置mac地址过滤和使用Iptables防火墙禁止mac地址上网

OpenWrt下限制MAC地址上网全攻略
最新推荐文章于 2025-10-26 14:55:30 发布
原创 最新推荐文章于 2025-10-26 14:55:30 发布 · 1.2w 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详述了在OpenWrt系统中如何通过两种方式限制特定MAC地址的网络访问。一种方法是利用无线网络的MAC地址过滤功能,包括web界面设置和命令行配置;另一种方法是借助Iptables防火墙阻止策略,同样提供了web界面和命令行操作步骤。

本文介绍使用OpenWrt限制特定mac地址的方法,一种是使用无线网络的mac地址过滤,一种是使用Iptables防火墙阻止策略。

 

一。使用mac-filter功能限制mac地址上网

方法1.web界面:

定位到菜单Network->wifi,如下图:

点击相应SSID的Edit,

 

如上图,在Interface Configuration栏目MAC-Filter里面设置模式,并添加mac地址。保存后,重启路由器。

 

模式说明:

Disable: 表示禁用mac过滤功能。

Allow listed only:表示只允许列表里面的mac连接wifi。

Allow all except listed:表示禁止列表里面的mac连接WiFi。

 

方法2.命令行界面,ssh到路由器,vi /etc/config/wireless,

 

config wifi-iface
option device 'radio1'
option mode 'ap'
option ssid 'qihoo-2g'
option network 'lan'
option encryption 'psk2'
option key '***'
option macfilter 'Deny'
list maclist '11:22:33:44:55:66' 
list maclist '33:44:55:66:77:88'

 

按照上述格式添加,Deny改为你要的模式,mac地址替换为实际地址。

保存后,重启路由器。如图示:

 

Macfilter 选项提供三个模式:

默认是 Disable,表示不启用硬件地址过滤功能;
Allow 表示白名单模式,即只允许列出的硬件地址连入网络;
Deny 表示黑名单模式,即禁止列出的硬件地址连入网络。

 

二。使用Iptables防火墙禁止mac地址上网

方法1.web界面:定位到Network-Firewall - Custom Rules,然后按照这个格式添加,mac地址替换为实际地址。

iptables -I FORWARD  -m mac --mac-source 11:22:33:44:55:66 -j DROP 
iptables -I FORWARD  -m mac --mac-source 33:44:55:66:77:88 -j DROP

如下图示:

 

然后点击Submit,之后重启路由器。

 

方法2.命令行界面,ssh到路由器,vi /etc/firewall.user,然后按照这个格式添加,mac地址替换为实际地址。

iptables -I FORWARD  -m mac --mac-source 11:22:33:44:55:66 -j DROP 
iptables -I FORWARD  -m mac --mac-source 33:44:55:66:77:88 -j DROP

 

保存后,输入reboot重启路由器。如下图示:

 

 

保存后,重启路由器。

lsdkzkald
关注
openwrt dnsmasq DHCP中为客户端分配不同的网关DNS | 旁路由 禁止上网
瑞哥的博客
09-27 6230
环境:openwrt + dnsmasq + PS4/Switch问题:为路由器下的设备分配不同的网关DNS,禁止局域网设备上网解决办法:修改dnsmasq配置文件背景:Openwrt 的DHCP服务是使用dnsmasq实现的,他可以给内网的客户端设备发放IP,现在有一个需求,个别客户端需要发放不同的网关DNS,以实现DNS劫持,旁路由,甚至是禁止上网的需求解决过程:修改dnsmasq的配置文件。
修改OpenwrtMAC的几种方法
power88881的专栏
07-11 2万+
平台:openwrt12.09 + QCA9561 方法1: 在rcS或者rc.local启动脚本中加入以下指令(适用于小批量的更改) ifconfig NI hw ether xx:xx:xx:xx:xx:xx   //NIC是网卡名称,xx是mac 方法二: 在对应网卡的network配置文件中加入(适用于小批量的更改) option macaddr xx:xx:xx:xx:x
OpenWrt 禁止某台设备联网
whatever
10-21 1万+
选择“丢弃”或“拒绝”,然后“”选 WAN ,然后点击“”选你要禁止联网的设备,“找到:网络,防火墙
openwrt路由器怎么使用iptables进行域名过滤?
10-01
openwrt路由器怎么使用iptables进行域名过滤?域名过滤主要是怕孩子玩游戏或者上不好的网站,所以将一些网址关键字段给封了,这样即使电脑有网也没办法登陆哪些被封的网站,下面我们来看看设置方法
OpenWrt | 实现限制只有指定设备才能访问 luci 使用 SSH 等方式管理设备的方法
TeleostNaCl的博客
10-26 1184
本文将介绍使用防火墙的方式,通过增加规则来实现限制只有指定设备才能访问 luci 使用 SSH 等方式管理设备的方法,实现一般家用路由器对的 WEB 管理设置 功能
Openwrt Lede koolshare固件下屏蔽固定MAC地址以及屏蔽某些网站
yytak的博客
08-27 7136
Openwrt Lede koolshare固件下屏蔽固定MAC地址以及屏蔽某些网站 屏蔽局域网MAC地址 iptables -I FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP 屏蔽局域网访问外网特定网站 iptables -I FORWARD -d tms.can.cibntv.net -j DROP iptables的配置文件在/...
OPENWRT 教程第七章 防火墙开发之iptables
09-06 2306
Openwrt 是一个 GNU/Linux 的发行版, 其他大多数的发行版一样,Openwrt防火墙同样也是基于 iptablesiptables -L INPUT --line-numbers //列出INPUT 链所有的规则 iptables -D INPUT 4 //删除指定的第4行规则 iptables -R FORWARD ...
iptables 防火墙 二 SNAT与DNAT
2401_83786744的博客
05-22 1178
(1)tcp: ip icmp arp rarp tcp、udp、icmp这些协议选项等都要放到第一个参数的位置,用来过滤数据包的类型(2)-i ens33 : 只抓经过接口ens33的包(3)-t : 不显示时间戳(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包(5)-c 100 : 只抓取100个数据包(6)port!22 : 不抓取端口是22的数据包。
20. 详解 OpenWrt 防火墙配置、NAT配置
热门推荐
weixin_38387929的博客
06-12 3万+
1 OpenWrt 内置防火墙介绍 Openwrt 是一个 GNU/Linux 的发行版, Openwrt防火墙实现与Linux的防火墙是通过netfilter内核模块,加上用户空间的iptables管理工具;同样是五链四张表、五元素的管理框架。 OpenWRT开发了一套与iptables同地位的netfilter管理工具fw3,这个工具侧重于从uci格式的配置文件中获取过滤信息下发到内核的netfilter中去。 防火墙文件总会在/etc/init.d/firewall 启动的时候由 UCI 解码并且
OpenWrt 防火墙应用--uci工具
esansiy的博客
09-24 1501
OpenWrt 防火墙–UCI工具 OpenWrt 防火墙 openwrt 下的 NAT、DMZ、firewall、rules 都是由配置文件 “/etc/config/firewall” 进行控制管理的。此文件可以使用 UCI 进行控制,也可以使用 vi 编辑器直接修改。 该文件最后会在 /etc/init.d/firewall 启动的时候由 UCI 进行解码并且生成 iptables 规则生效。 uci uci是 ...
局域网防火墙(只允许邦定了MAC地址的电脑访问本机)
10-28
使用防火墙后,在局域网中就只有邦定了MAC地址的电脑可以访问这能电脑了,本软件只针对内网,请开机就运行,修改CONFIG.INI后就再次运行防火墙修改内存中的邦定列表。
使用iptables来实现mac filter功能该如何实现?
最新发布
12-09
我们使用iptables来实现MAC地址过滤功能。在OpenWrt或其他Linux系统中,iptables可以通过`mac`模块来匹配源MAC地址。 基本思路: 1. 创建一条规则匹配特定的MAC地址(或地址范围),然后执行相应动作(如ACCEPT或...
OpenWRT使用iptables设置只允许MAC地址对应设备访问局域网
不会飞的猪的博客
12-01 1万+
OpenWRT只允许设备访问局域网原理分析 要想设备只能访问局域网,有两个方案 1.使用iptables匹配设备MAC地址为XXXXXXXXXXX且目的地址为公网地址的设备若匹配则拒绝 2.使用iptables匹配设备MAC地址为XXXXXXXXXXX且目的地址为局域网地址的设备若匹配接受,在此规则下面添加该MAC地址所有包都丢弃 由于公网IP段不明确,因此我们这里采取第二种方
openWRT利用mac地址限制局域网内设备访问外网
weixin_30823001的博客
04-27 2057
  利用iptable设置防火墙:    iptables -A INPUT -p tcp -m mac --mac-source 44:94:FC:25:68:8D --dport 80 -j DROP 转载于:https://www.cnblogs.com/ysys/p/6775568.html...
openwrt 获取网口MAC地址
distance369的博客
07-13 2194
static int get_mac(char* mac,char* brifc) { struct ifreq tmp; int sock_mac; char mac_addr[32]={0}; sock_mac = socket(AF_INET, SOCK_STREAM, 0); if( sock_mac == -1) { perror("create socket fail\n"); return -1; } ...
Openwrt 修改Mac地址
Win_cao专栏
09-08 1万+
一、查看Mac地址 root@M201:~# ls /dev/mtdblock mtdblock0  mtdblock1  mtdblock2  mtdblock3  mtdblock4  mtdblock5 root@M201:~# ls /dev/mtdblock* /dev/mtdblock0  /dev/mtdblock2  /dev/mtdblock4 /dev/mtdbl
Openwrt版本智能路由的MAC地址
fengyuyaoye1980的专栏
01-30 2368
  MAC地址取自/etc/config/network文件   config interface 'loopback'         option ifname 'lo'         option proto 'static'         option ipaddr '127.0.0.1'         option netmask '255.0.0.0'   con...
OpenWrt 防火墙基础过滤实现
esansiy的博客
09-22 3761
OpenWrt 防火墙基础过滤实现 最近在学习openwrt-firewall方面的知识,在iptables防火墙规则的基础上实现ip过滤mac过滤以及域名过滤它们的黑白名单实现 IP过滤 IP过滤的实现主要是依靠openwrt系统提供的uci管理工具实现,关于uciiptables工具,前文都有简单的提到,这里就不再赘述。 在openwrt系统的firewall防火墙上实现ip过滤,有几种方式,这里介绍一下iptablesuci 的实现方法。uci实现相对比较简单, MAC过滤 域名过滤 ..
是否可以根据目标地址后24位把特定的组播地址放行到br-lan侧
11-12
<think>根据用户的问题,用户想了解是否可以根据目标地址的后24位放行特定组播地址到br-lan侧。这里的"后24位"可能指的是IP地址的后24位,即子网掩码为/24的情况。组播地址通常属于D类地址,范围是224.0.0.0到239.255.255.255。 在Linux系统中,我们可以使用iptables或ebtables(因为涉及桥接,所以ebtables可能更合适)来过滤网络流量。但是,用户提到了br-lan,这通常是一个网桥接口,常见于OpenWrt等嵌入式Linux系统中。 组播地址过滤可以根据IP地址进行。用户希望根据目标地址的后24位来匹配,这实际上是指目标地址的特定子网。例如,如果组播地址的范围是224.0.1.0到224.0.1.255,那么后24位就是224.0.1.x。 在iptables中,我们可以使用IP地址子网掩码进行匹配。例如,如果要匹配224.0.1.0/24,我们可以这样写规则: ```bash iptables -A FORWARD -d 224.0.1.0/24 -j ACCEPT ``` 但是,用户希望的是根据目标地址的“后24位”来匹配,这实际上就是指定一个/24的子网。所以,只要用户指定了组播地址的某个/24子网,就可以用上述方式。 然而,需要注意的是,组播地址的整个范围是224.0.0.0/4(即224.0.0.0到239.255.255.255)。如果用户想匹配特定的组播组,例如224.0.1.0/24,那么直接使用这个子网即可。 另外,用户提到“放行到br-lan侧”,意味着数据包需要被转发到br-lan接口。在iptables中,我们可以通过指定输出接口(-o)来实现。例如: ```bash iptables -A FORWARD -d 224.0.1.0/24 -o br-lan -j ACCEPT ``` 但是,组播流量通常使用IGMP协议进行管理,所以还需要确保组播流量能够被正确地路由转发。在Linux系统中,需要开启组播转发功能(例如,设置`net.ipv4.ip_forward``net.ipv4.conf.all.mc_forwarding`等内核参数)。 此外,如果是在桥接环境中,可能需要使用ebtables来过滤以太网帧,因为iptables工作在网络层,而ebtables工作在数据链路层。组播地址在链路层对应的是特定的MAC地址(01:00:5e:开头的MAC地址)。例如,组播IP地址224.0.1.1对应的MAC地址是01:00:5e:00:01:01。所以,也可以根据目标MAC地址过滤。 如果用户想要根据IP地址的后24位来匹配组播地址,那么实际上在MAC地址中,IP地址的后23位会被映射到MAC地址的后23位(因为MAC组播地址只有23位用于映射IP地址)。所以,IP地址的/24子网在MAC地址中并不能精确映射到/24,因为MAC组播地址使用了IP地址的23位。因此,使用IP地址进行过滤更为直接。 总结:用户可以根据目标组播地址的/24子网来放行特定组播流量到br-lan接口,使用iptables规则即可。但需要注意组播流量的路由转发设置。 因此,回答用户的问题:可以依据目标地址的/24子网(即后24位)来放行特定组播地址到br-lan侧,使用iptables规则,并指定目标地址输出接口。 相关问题: 1. 如何配置Linux系统以支持组播转发? 2. 在桥接环境中,如何过滤组播流量? 3. 组播IP地址MAC地址的对应关系是什么? </think>根据您的查询提供的引用内容,关于"依据目标地址后24位放行特定组播地址到br-lan侧"的需求,以下是分析解决方案: ### 可行性实现方法 1. **技术原理可行性** ✅ 可以使用 IPTables 的 **网络地址匹配规则** 实现目标地址后24位的匹配(即 `/24` 子网掩码)。组播地址范围 `224.0.0.0/4` 属于 D 类地址,可通过 IP 地址段精确控制。 2. **关键配置规则** 在防火墙规则中添加(以 OpenWrt 为例): ```bash # 放行目标地址后24位为 233.100.1.x 的组播流量到 br-lan iptables -A FORWARD -d 233.100.1.0/24 -o br-lan -j ACCEPT ``` - `-d 233.100.1.0/24`:匹配目标地址后24位(`233.100.1.0` 到 `233.100.1.255`) - `-o br-lan`:指定输出接口到 br-lan 网桥 - **引用支持**:IP 地址段匹配是防火墙基础功能[^4] 3. **组播地址特殊处理** - 组播 MAC 地址需映射为 `01:00:5e:xx:xx:xx` 格式 - 建议同时放行组播控制协议: ```bash iptables -A FORWARD -p igmp -j ACCEPT # 允许IGMP协议 ``` 4. **验证命令** ```bash iptables -L FORWARD -v --line-numbers | grep br-lan tcpdump -i br-lan -n net 233.100.1.0/24 # 抓包验证 ``` ### 注意事项 1. **VLAN 隔离影响** 如引用[^3]所述,br-lan 若涉及 VLAN 隔离,需确保组播流量跨越 VLAN 边界时启用 `igmp-snooping`。 2. **高位端口风险** 引用[^1]提醒需监控非常规端口流量,建议追加规则限制端口范围: ```bash iptables -A FORWARD -d 233.100.1.0/24 -p udp --dport 1024:65535 -j DROP ``` 3. **五元组完整性** 引用[^2]强调防火墙规则依赖五元组(源/目的 IP+端口、协议),组播场景需明确协议类型(通常为 UDP)。 --- ### 推荐部署流程 ```mermaid graph LR A[定义组播地址段] --> B[配置IPTables规则] B --> C[启用br-lan组播转发] C --> D[设置IGMP代理/snooping] D --> E[验证组播流] ``` ### 相关问题 1. 如何防止组播流量在局域网内引发广播风暴? 2. 组播地址 `224.0.0.0/24` `239.0.0.0/8` 的应用场景有何区别? 3. 在 eNSP 模拟环境中如何验证组播防火墙规则有效性?[^3]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值