Linux服務(wù)器承擔(dān)整個(gè)校園網(wǎng)訪問因特網(wǎng)的網(wǎng)關(guān),在Linux環(huán)境中,有一個(gè)非常靈活的IP過(guò)濾工具是iptables,這個(gè)工具在使用的時(shí)候可以設(shè)置多個(gè)條件同時(shí)滿足才允許通過(guò)IP數(shù)據(jù),利用這個(gè)功能就可以實(shí)現(xiàn)地址綁定功能。設(shè)計(jì)理念是只有IP地址和MAC地址同時(shí)滿足條件時(shí)才允許數(shù)據(jù)轉(zhuǎn)發(fā),命令如下:
iptables -P FORWARD DROPiptables -A FORWARD -s 192.168.6.200 -m mac --mac-source 00:11:5B:EF:7A:D8 -j ACCEPTiptables -A FORWARD -s 192.168.6.201 -m mac --mac-source 50:78:4C:4A:46:C0 -j ACCEPTiptables -A FORWARD -s 192.168.6.202 -m mac --mac-source 00:10:5C:E4:A8:50 -j ACCEPT 上面第一行是轉(zhuǎn)發(fā)策略,意思是沒有指定的轉(zhuǎn)發(fā)鏈?zhǔn)墙罐D(zhuǎn)發(fā)任何數(shù)據(jù)的。第二行表示只有滿足IP地址是192.168.6.200同時(shí)MAC地址為00:11:5B:EF:7A:D8才允許轉(zhuǎn)發(fā),類似的第三、四行分別綁定的是192.168.6.201和192.168.6.202。每臺(tái)機(jī)器對(duì)應(yīng)這樣一行,就可以實(shí)現(xiàn)所有機(jī)器IP地址與MAC地址的綁定。解除綁定狀態(tài)只要把上面命令行中的-A替換為-D就可以刪除本轉(zhuǎn)發(fā)鏈,同時(shí)還要把轉(zhuǎn)發(fā)策略改為ACCEPT。以上的命令需要配合POSTROUTING鏈才可以實(shí)現(xiàn)上網(wǎng)功能。