将 MAC 地址列入黑名单，但它们仍占用 DHCP 租约

使用ebtables而不是iptables在第 2 层阻止 MAC 地址：

ebtables -A INPUT -s 00:11:22:33:44:55 -j DROP

虽然我认为使用ebtables可能是答案，但这是我不想添加到我的配置中的另一层。其他技术人员之一帮助我制作了一个脚本来解析 IP 地址的黑名单，并将它们添加到一个新的池中，它不会给出任何 IP 地址。它采用我也吐入的常规黑名单（每行一个 MAC 地址）iptables，然后创建新池。

在我的/etc/dhcp/dhcpd.conf文件中，我在顶部附近创建了一个新类：

class "blacklist" {
    match hardware;
}

在我的具有“LAN 私有端”的池中，我添加了以下内容：

deny members of "blacklist";

...最后，我补充说：

include "/etc/dhcp/blacklist.conf";

然后，我创建一个 Python 脚本，如下所示：

#!/usr/bin/perl

my $if;
my @macs;
my $line = 0;

if ($ARGV[0]) {
    $if = "-i $ARGV[0]";
}

while (<stdin>) {
    $line++;

    next if /^$/;
    next if /^\s*#/;

    chomp;

    if (/^([a-f0-9]{2}((:|-)[a-f0-9]{2}){5})$/) {
        push(@macs, $_);
    }
    else {
        die("syntax error on line $line\n");
    }
}


open(OUT, ">/etc/dhcp/blacklist.conf");
foreach my $i (@macs) {
    $i =~ tr/-/:/;
    print OUT "subclass \"blacklist\" 1:$i;\n";
}
close(OUT);

我保存了这个，然后添加 Execute 位chmod +x /usr/local/sbin/dhcpd-macblock.py，并设置一个 cron 作业，每小时将黑名单输入脚本：

cat /etc/blacklist.txt | dhcpd-macblock.py

每小时，它都会创建一个新文件，其中包含我不想要的所有 MAC 地址被阻止，他们甚至没有获得 DHCP 保留，我的位置正在慢慢释放。

如果您有权访问该设置，并且硬件允许，则更简单的解决方案可能是将您的接入点配置为拒绝您要过滤的 MAC 地址，而不是“稍后”使用 iptables 过滤它们。这也将解决人们为他们的设备分配静态 IP 的问题，因为如果他们在 AP 级别被过滤，他们可能根本无法与网络关联。当然，这并不能解决“非静态”MAC地址的问题……

据我所知，除了按照建议使用诸如 etables 之类的东西以及额外的簿记之外，这是不可能的。

我以前见过这个问题，我在使用中找到的解决方案与您已经在使用的解决方案几乎相同。如果您让脚本每隔几分钟运行一次，那么未经授权的设备在网络上的时间是最短的，这可能是一个可以接受的折衷方案。

您还应该考虑将无线身份验证与 LDAP 服务器链接起来，假设您已经使用了类似的东西，它应该很容易。否则尽快合并 LDAP 或其他一些集中式身份验证系统（在大多数情况下，本地用户帐户不是一个好主意）。然后根据具体情况创建通用访客帐户或访客帐户。这样，即使用户可能拥有无线密钥，他们在进行身份验证之前仍然无法接入无线网络。通常，这将通过无线路由器将流量重定向到的网页来完成。只有经过身份验证后，才会创建路由以允许流量。