Shorewall -按源MAC地址进行的通配符筛选

Question

我目前有一台Debian个人电脑，它有两个网络接口，充当路由器/网关。

我有几台廉价的IP摄像头，它们试图访问外部服务，大概是为了某种“云”功能。无法禁用此功能。

我想添加规则到Shorewall，从这些相机丢出的数据包，以防止他们访问互联网。我曾经使用过类似的方法来防止二手用户级的VOIP设备在过去下载不需要的配置文件。

为了实现这一点，我可以添加过滤器的MAC地址或IP的每台相机。这有点乏味。例如：

DROP local:~AA:BB:CC:11:22:33
DROP local:~AA:BB:CC:11:22:44
DROP local:~AA:BB:CC:11:22:55
etc..

我能用某种通配符吗？例如：

DROP local:~AA:BB:CC:*

相机与其他几个设备共享一个子网，而将它们移动到一个新的子网仅仅是为了对它们应用防火墙规则是不可取的。

内核3.16.0-4-AMD 64上的Shorewall版本为5.0.15.6

Answer 1

简短的回答是:不，你不能。

Shorewall对接口名称的通配符支持有限(即使用‘ppp+’，这将与ppp0、ppp1、ppp2..etc相匹配。)端口名(http://shorewall.net/manpages/shorewall-interfaces.html)，但不适用于mac地址或ip地址。

我还做了一个快速测试，只得到“错误:无效的MAC地址.”。