用ipfw限制網路卡卡號上網

用ipfw限制網路卡卡號上網

1. 先要有ipfw2，因為只有ipfw2可以鎖 mac address.
但前提是要把ipfw2 compile進 kernel裡.
再重新compile /sbin/ipfw (make -DIPFW2)
kernel config file --> options IPFW2
/etc/make.conf --> IPFW2?=TRUE

2. ipfw 設定：
假設要允莧A:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB CC:CC:CC:CC:CC:CC
這三台卡號的電腦通過, 其餘不給過, 就用
arp -s 192.168.0.10 AA:AA:AA:AA:AA:AA
arp -s 192.168.0.11 BB:BB:BB:BB:BB:BB
arp -s 192.168.0.12 CC:CC:CC:CC:CC:CC
設定static arp, 然後再用ipfw設定
全部允許：
ipfw add 00100 allow any to any via lo0
ipfw add 00110 allow any to any via (對外介面)
限制連外：
ipfw add 00120 allow me to 192.168.0.0/24 via (對內介面)
ipfw add 00200 allow 192.168.0.10 to me via (對內介面)
ipfw add 00201 allow 192.168.0.11 to me via (對內介面)
ipfw add 00202 allow 192.168.0.12 to me via (對內介面)
ipfw add 01000 deny 192.168.0.0/24 to me via (對內介面)

如此一來就只有該卡號且用該IP的電腦才能通過