iptables -I FORWARD -m mac --mac-source 00:11:22:33:44:55 -j DROP iptables -I FORWARD -d 192.168.0.0/16 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT iptables -I FORWARD -d 172.16.0.0/12 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT iptables -I FORWARD -d 10.0.0.0/8 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT 当两台 设备 在同一子网内(如都在192.168.1.x/24网段)时，它们之间的通信不需要经过网关。数据包可以通过局域网直接传输。：网关(Gateway)主要用于连接不同网络之间的通信，特别是从内部网络 访问 外部网络(如公网)。因此，只要其他 设备 和服务器在同一局域网内，即使服务器没有配置网关，SSH连接仍然可以正常工作。如果您想在不影响局域网SSH连接的情况下阻止服务器连接公网，去掉网关配置是一个很好的选择。即使去掉网关配置，局域网内的其他 设备 仍然可以通过SSH连接到这台服务器。 首先查看本地路由 打开cmd 输入 ipconfig /all 通常默认网关对应的路由即是默认路由查看路由route print，红框内即为默认路由删除默认路由route delete 网段再查看路由，已经删除了添加只能 访问 内网 的路由，随便找一个只能 访问 内网 的路由即可 route add 网段 m 如果需要临时断开互联网，推荐使用禁用默认网关或修改网络适配器 设置 。如果需要长期限制互联网 访问 ，推荐使用防火墙规则或代理 设置 。如果需要完全断开互联网，可以使用禁用网络适配器。确保在操作前备份重要数据，避免影响正常工作。 如果想要使用 mac os 自带的防火墙 只能针对某一些应用来做 访问 限制，如果相对某一个IP 进行限制，则需要使用 PF防火墙。### 8.8.8.8 更改为自己的需要限制的ip。 可惜没有文件组和ip组的概念，否则会更加简单，比如comodo就适合更加复杂的规则 设置 ，让一个文件组 禁止 联网并通过一个规则允许 访问 一个ip组就行了，可惜comodo不... SELinux全称：Security-Enhanced Linux，安全加强的Linux；SELinux系统的本来名称为 MAC ：强制 访问 控制；SELinux就是 MAC 访问 控制机制在Linux系统中的实现；操作系统安全等级标准(橙皮书)：D级别(最低安全级别)C级别：C1, C2 (DAC自主 访问 控制，例如windows等系统的安全级别为C1级别)B级别：B1, B2, B3 (强制 访问 控制级别M... 本文介绍使用 OpenWrt 限制特定 mac地址 的方法，一种是使用无线网络的 mac地址 过滤，一种是使用 Iptables 防火墙阻止策略。一。使用 mac -filter功能限制 mac地址 上网 方法1.web界面：定位到菜单Network->wifi,如下图： 点击相应SSID的Edit， 如上图，在Interface Configuration栏目 MAC -Filter里面 设置 模式，并添加 mac地址 。保存... Linux作为服务器操作系统，具有服务稳定、功能强大的特点。自Linux 2.4内核以来，其中又内置了NetFilter包过滤架构。它从而具有强大的数据包过滤功能，保证用作软件路由器时更得心应手。例如，很多中小企业使用 Linux软件路由器将内部网络接入Internet，其效果并不比某些专有系统逊色，而且在功能定制、应用扩展等方面更有优势。 在接入Internet中，不同的用户应当拥有不同的权限