Help Brak możliwości filtrowania adresów MAC

mackowiakp

Entry Technician
Q Associate
Jun 5, 2015
82
6
8
Gdynia
QNAP
TS-x53
Ethernet
1 GbE
Usiłuję zastosować filtrację ruchu do kontenerów docker i LXC w oparciu o iptables. Istotne jest dla mnie filtrowanie adresów MAC. To ze względu na to że urządzenia tzw "inteligentnego domu" oparte np o ESP8266 nie mają zaimplementowanego SSH (za słaby procesor). Chcąc zwiększyć bezpieczeństwo maksymalnie jak tylko się da, stosuję filtrację adresów IP (która działa) a także chciałbym rozszerzyć to o filtrację adresów MAC.
Niestety niezależnie od tego czy iptables są zainstalowane jako wyłącznie aplikacja w docker czy też jako część zainstalowanego Ubuntu v 16 w LXC, reguła działająca poprawnie np w Raspberry Pi nie działa w kontenerze. Sygnalizowany jest błąd jak poniżej (dla kontenera LXC z Ubuntu):

oot@Xenial# /sbin/iptables -A INPUT -p tcp --dport 8081 -i eth0 -m mac --mac-source 84:f3:eb:b7:45:42 -j DROP
iptables: No chain/target/match by that name.

Przyczyną jest brak w oprogramowaniu systemowym QNAP rozszerzenia MAC w zaimplementowanej wersji iptables.
Próbowałem doinstalować to rozszerzenie ale nie jest to możliwe ani w "natywnym" firmware QNAP ani w żadnym z kontenerów. Poniżej komunikat o braku odpowiedniego modułu w oryginalnym FW:

root@Xenial:~# modprobe xt_mac
modprobe: ERROR: ../libkmod/libkmod.c:586 kmod_search_moddep() could not open moddep file '/lib/modules/4.14.24-qnap/modules.dep.bin'
modprobe: FATAL: Module xt_mac not found in directory /lib/modules/4.14.24-qnap

Pytanie jak można obejść ten problem i/lub ewentualnie doinstalować wymagany moduł. A jeżeli tak, to w jaki sposób i z jakiej wersji Linuxa go wziąć

Wersja oprogramowania Firmware: 4.4.1.1216
Model serwera: QNAP TS-453A
 
W takim razie czy jest jakiś firewall z filtrowaniem MAC, który można by zainstalować w dockerze naprzykład a nie wymagające instalowania jakiś modułów jądra QNAP? Tak jak wspomniałem, przepustowość nie jest dla mnie problemem.