Разрешить интерфейсу Ethernet работать только с определённым MAC-адресом.

Возможно ли разрешить две MAC-адреса на одном порту с помощью фильтра моста? С уважением, Ричард

У меня есть видеодомофонная станция. Она подключена к ethernet 23. Я хочу заблокировать любые попытки подключения через этот кабель, которые не принадлежат моему домофону. Я настроил так:

/interface bridge filter> print  
Flags: X - отключено, I - недействительно, D - динамично  
0   chain=forward action=drop in-interface=ether23-slave-local in-bridge=bridge-local src-mac-address=!00:00:05:00:00:02/FF:FF:FF:FF:FF:FF log=no log-prefix=""

Это не его MAC (я взял его оттуда). Но я все равно вижу изображение с него и могу к нему подключиться. Есть идеи?

Плюс небольшой совет — защита по MAC-адресу недостаточна. Если бы я хотел вломиться в вашу сеть таким образом, первым делом я бы узнал MAC-адрес домофона. Поэтому нужно считать домофон потенциально вредоносным устройством и разрешать ему отправлять данные только туда, куда вы хотите. И всё равно, если между домофоном и монитором нет аутентификации на основе сертификатов, злоумышленник сможет подменить домофон на устройство, которое будет передавать вашей системе видеонаблюдения видео с записью того, как ваш друг стоит у двери, отправляя поток в ту же точку назначения с тем же MAC-адресом.

Против тупых злоумышленников достаточно фильтра на мостовом фаерволе, который связывает MAC-адрес с портом. Хитрый атакующий скопирует MAC-адрес камеры на своё устройство, поэтому единственным безопасным методом остаётся 802.1X — если только злоумышленник не сможет вытащить пароль 802.1X из камеры. Вопрос в том, поддерживают ли ваши камеры 802.1X.