iptables 의 --mac-source 옵션에 대해서

seobi · 손님

iptables 의 옵션 중에 ip가 아닌 mac address 를 기준으로 패킷을 DROP 할지 ACCEPT 할 수 있는 것이 있군요.
# iptables -A INPUT -i eth0 -p tcp -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
와 같이 설정할 수 있는 것으로 알 고 있습니다.
유동 IP에 대해서 방화벽 정책을 할 수 있는 면에서 유용할 것으로 보입니다.

그런데 이 옵션이 같은 네트워크 내에서는 작동이 되는데 다른 네트워크에서는 작동이 되질 않는 것 같습니다.

다른 네트워크의 mac address는 알 수 없는 것인가요? 아니면 다른 네트워크에서 오는 패킷이 네트워크 장비를 거치면서 mac address 가 변형이 되서 그런건가요?

이 문제에대해서 자세히 설명된 자료를 찾을 수 없어서 여기에 질문합니다.
이것에 대해서 잘 알고 계신분은 설명해 주시면 감사하겠습니다.

truefeel

seobi · 손님

kku911 · 가입: 2004년 9월 1일 올린 글: 2

예를 들자면, 본인의 컴퓨터가 다른 네트웍 (본인의 broadcast 와 다른 broadcast) 의 상대방 컴퓨터와 통신이 되고 난 후,
arp -a 명령어로 보이는 상대방의 mac address 는 상대방 컴퓨터의 mac address 가 아니고,
본인 컴퓨터가 인터넷을 하기 위한 gateway 장비의 mac address 입니다.

우선은, 네트웍 통신이 시작된 호스트에서 찾고자 하는 컴퓨터의 ip 를 최초에 arp 프로토콜을 이용하여,
동일 broadcast 내의 모든 호스트에게 신호를 보내고, 원하는 컴퓨터와 통신이 성립이 될 경우 arp cache 에 load 되게 됩니다.

예를 들자면, 한 사무실에서 처음 컴퓨터를 켜고, 최초에 다른 컴퓨터를 찾을 때는 시간이 조금 걸리지만,
한번 연결된 후, 다시 연결할 경우에는 처음보다는 빠르게 연결이 됩니다.
arp cache 에 있기 때문에 다른 호스트 찾는 수고를 더는 것이죠.

만약 네트웍의 broadcast 구분이 없이 전세계 컴퓨터가 모두 연결이 되어 있다면,
엄청난 네트웍의 arp 가 three-way handshake 방식의 통신 연결을 위한 네트웍 소비로 다른 아무것도 할 수 없습니다.

DNS 나 네트웍의 계층적인 (hierarchical) 부분과 깊은 연관이 있습니다.