linux防火墙设置mac 过滤

我想楼主的理解有误，IP 包中只包含了一个源 MAC (source MAC) 和一个目的地 MAC (dest MAC)，不存在 *** 作系统 MAC 这个说法。至于要过滤 MAC，linux 下的 netfilter 模块搭配用户模式下的 iptables 应用可以达到这个效果。比如：

iptables -A FORWARD -m mac --mac-source 00:17:31:BB:C5:DE -j ACCEPT

就是在转发链当中允许对匹配该源 MAC 的 IP 包进行转发。

具体的可以在终端界面中输入：man 8 iptables 查询用户手册。

iptables是按先后顺序处理的，

-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT 这里ACCEPT之后就直接访问MYSQL数据库去了

-A INPUT -p tcp --destination-port 3306 -m mac --mac-source 04:7D:7B:E7:8B:5B -j DROP这条策略完全没起到作用

把这两条策略顺序改过来试试看

好象没有针对MAC进行访问限制的吧？你内部设置DHCP分号好了，这样他后修改的，只会在你机器显示IP冲突，但他是分不到这个IP号，你的也不会出现问题，如果是他先设置到的，那么你的DHCP也不会再分这个IP给你，这是一个方法。

还有个就是在内部在设置个网段好了，比如正常的通过DHCP分的网段为 192.168.0.1/24 这个是可以正常上网的，然后在服务器设置个VPN拨号，设置网段为 192.168.1.1/24 这个为服务器内部地址，这样就可以解决你的问题了！

---