我的路由器可以应用基于MAC地址的限制,例如限制网络上特定设备的访问时间。(不要与屏蔽facebook、youtube等的IP地址限制混淆。(这似乎是DSL调制解调器中路由器的常见功能。
如果我的局域网上的流氓用户使用VPN应用程序访问互联网,那么所需的访问限制是否仍然适用?换句话说,VPN不能用来规避这些限制吗?尽管从问题本身来看,答案似乎几乎是不言自明的,但我不确定端口转发、MAC地址欺骗等都有什么可能…
更新:为了防止第三方使用MAC地址跟踪设备,Android、Linux、iOS和Windows[5]已经实现了MAC地址随机化。2014年6月,苹果宣布其iOS平台的未来版本将随机分配所有WiFi连接的MAC地址。自2015年3月以来,Linux内核在网络扫描期间支持MAC地址随机化[6],但需要更新驱动程序才能使用此功能。[7] 自2015年7月Windows 10[5]发布以来,Windows一直支持它https://en.wikipedia.org/wiki/MAC_spoofing#MAC_Address_Randomization_in_WiFi
因此,根据下面的答案,到目前为止,VPN通常无法伪造MAC地址,但由于设备内有意的地址随机化,基于MAC地址的LAN访问控制变得困难或不可能。
VPN不过是另一个TCP/IP连接。因此,最好的方法始终是阻止VPN的dst地址。然而,由于这通常并不容易(有大量的vpn dst-ips(。如果不允许源主机MAC地址,则应断开连接。换句话说,您应该将VPN视为一个网页。就像你屏蔽雅虎一样,你也应该屏蔽vpn提供商。一旦建立了vpn,mac就可以随心所欲了。
据我所知,没有VPN可以做到这一点。从理论上讲,伪造MAC地址是可行的,但这不是VPN的设计目的。即使这样,在Windows上也没有任何简单的伪造MAC地址的选项。
因此,所需的访问限制仍然适用。
根据OSI层模型,VPN连接只是一个在第4层(如TCP/UDP(上(希望(具有加密通信(OpenVPN、SSL/TLS-VPN、IPSec(的应用程序,包本身由PHY(如网卡、WiFi模块等(处理。因此,即使MAC过滤器无法读取内容,它也会将这些包检测为来自该MAC的包。MAC过滤器的唯一旁路是MAC欺骗或使用网络上的另一台电脑作为代理或NAT设备,而带有MAC过滤器的路由器会将这台电脑视为发送设备。