arp -s 192.168.0.1 00:20:ED:42:31:B6
聽說這樣就可以讓 Client 端的 IP 鎖住..即使你換成別的 IP...一樣不能上網...
可是說也奇怪...可能是我那邊沒注意到...不管我 Client 端怎麼改...一樣還是
正常上網...因此...我只能用這種方式來達到我的目地...如果大家有更好的做法...
可以討論看看囉...底下只是大概的精要...依照個人需求...設定是不同地...
CODE:
# Flush input chains
iptables -F INPUT
iptables -F FORWARD
# Set input chain policy to ACCEPT
iptables -P INPUT ACCEPT
# Allow loopback
iptables -A INPUT -i lo -j ACCEPT
# Allow icmp
iptables -A INPUT -p icmp -j ACCEPT
# Allow Intranet Mac Address
iptables -A FORWARD -s 192.168.20.2 -m mac --mac-source 00:20:ED:42:31:B6 -j ACCEPT
# Allow Intranet to Server
iptables -A INPUT -s 192.168.20.0/24 -j ACCEPT
#Deny Intranet to Internet
iptables -A FORWARD -s 192.168.20.0/24 -j DROP
# drop all other connections
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p udp -j DROP
我的想法是 Drop 內部 Forward 到外部的連線...可是 Allow Intranet 到 Server然後再把特定 IP 搭配它的 MAC Address ...來開放讓其可以連到外部...這時即
使 192.168.20.2 改成別的 IP 無法連到外部...其它台電腦使用到 192.168.20.2
這個 IP 也無法正常連線...這樣可以達到初部的目標...如果您有更好的做法...也
歡迎來討論囉...