刚接触LINUX不久，现在公司要在一linux的vpn服务器上做一个用户访问权限的限制，限制对象是vpn对端的用户，公司有自己的大型局域网，还有一个是租用电信线路直接接入互联网，eth0是直接接入互联网，eth1是接入局域网的，vpn对端的用户有一部分是不限制他访问的，还有一部分是不允许访问公司局域网的。现在的问题就是：我如何通过MAC地址来限制一些用户，不让他们访问局域网，请问这样的规则该如何写，添加到哪里最合适呢？？

在eth0上如何限制一个mac访问某个网段，能告诉我正确的语句吗？
我是这样写的：iptables -A FORWARD -o eth0 -m mac -s --mac-source 00:00:00:00:00:00
                    -d 10.0.0.0/8 -j DROP
小第刚接触iptables，很多都还搞不明白，还希望有前辈高手给予指点啊，小弟不甚感激！！

首先，语法没有使用正确
-m mac -s --mac-source 00:00:00:00:00:00
其中 -s 是什么？后面没有指定源地址，那么就不要写 -s

其次，mac 描述有问题
--mac-source 00:00:00:00:00:00
这是描述的什么 MAC 地址？

谢谢您的指点，我再试试！！万分感谢！

要限制VPN的用户还是局域网的用户呢?

限制vpn 的用户访问局域网

引用:

原帖由 tree 于 2006-9-7 14:25 发表
要限制VPN的用户还是局域网的用户呢?

你限制VPN的用户,能得到VPN用户的MAC吗?

可以得到，我是在对端的VPN服务器上做这个规则，我可以通过交换机查看到MAC地址，然后我想让其中的某个主机不能够通过vpn服务器来访问公司的局域网，只要他能上互联网就好了，所以不能够完全拒绝，只能限制他访问公司局域网的网段，这样可以实现吗？因为使用dhcp自动获取地址，而用户也可以自己指定地址，绕过DHCP，所以ip地址有不确定因素！请前辈赐教，这样能否直接实现对用户的限制！

我不明白

你的结构是什么样的?你在对端的VPN服务器,这个对端是什么意思?是LAN TO LAN吗?

通过SW当然可以得到MAC,但是你有没有想过,VPN用户认证进来的时候带来了MAC的信息吗?

OK,你设置了一个MAC不让访问,但是IPTABLES里面怎么看这个MAC是哪个数据来得?你有想过吗?

不好意思，可能是我表述有问题，我们可以抛开vpn不予考虑，因为我想明白了，我要做的就是让这个用户的数据包还没有到达vpn链路就被丢弃，在服务器上有eth0、eth1、lo、tun0四个网络接口，eth1是接局域网用户，eth0接入互联网，tun0是连接vpn链路的虚拟接口，我要做的就是，让局域网的部分用户禁止通过vpn链路，下面这条语句可以实现吗？
iptables -A FORWARD -o tun0 -s 1.1.1.1 -j DROP
请给予指点，不甚感激！！