MAC-filter med iptables på "annat" interface/vlan

Har en fråga kring iptables och vlan (tror jag...)

Kör en Asus N56U-router med Padavan firmware och vill få till att en dator i mitt hem-nätverk är helt avskild från de övriga och sitter på ett eget nät med endast internetanslutning. Tanken var att sonen skulle få härja fritt på den utan att riskera att ev. virus skall kunna attackera andra enheter som är kopplade till routern.

Hittade den här sidan och fick det att funka som jag ville:
https://freeandthings.wordpress.com/2015/06/19/dmz-setup-with...

Dock har jag problem med MAC-filtreringen, jag kör med en white-list i routern som funkar på vanliga WiFi:t men problemet är att trafiken från det separerade nätverket slinker igenom trots att datorn inte finns med i white-list:en.

Är själv inget vidare på iptables så tar tacksamt emot tips.

PC:n som jag vill isolera sitter direkt in i LAN1-porten som i sin tur blir interface eth3.3 i routern.

Målet är en DMZ-setup med så stark separation som möjligt mellan datorn på DMZ (192.168.2.0/24) och övriga datorer (192.168.1.0/24) som är kopplade till routern via LAN-portarna 2, 3 och 4 samt via WiFi.

Routern har interface enl. följande:

/home/root # ifconfig
br0 Link encap:Ethernet HWaddr 10:C3:7B:44:59:F9
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
...

eth2 Link encap:Ethernet HWaddr 10:C3:7B:44:59:F9
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...

eth3 Link encap:Ethernet HWaddr 74:1B:B2:64:21:3B
inet addr:81.234.156.132 Bcast:81.234.156.255 Mask:255.255.255.128
...

eth3.3 Link encap:Ethernet HWaddr 74:1B:B2:64:21:3B
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
...

Sen har jag följande i brandväggen (som jag inte riktigt har full koll på betydelsen av):

wan_ip=$(/sbin/ifconfig eth3) ; wan_ip=${wan_ip/*inet addr:/} wan_ip=${wan_ip/ */}
iptables -I INPUT -i eth3.3 -j REJECT
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth3 -j SNAT --to $wan_ip
iptables -A FORWARD -i eth3.3 -o eth3 -p tcp -j ACCEPT
iptables -A FORWARD -i eth3.3 -o eth3 -p udp -j ACCEPT
iptables -A FORWARD -i eth3.3 -o eth3 -p icmp -j ACCEPT

Men sen kan jag inte blockera/tillåta MAC-adresser på DMZ med
iptables -A maclist -m mac --mac-source xx:xx:xx:xx:xx:xx -j RETURN

Allt slinker igenom oavsett mac-filtrering. Har även testat med "-i eth3.3" på reglerna.

Här nånstans är väl min inkompetensnivå vad gäller iptables, men skickar med nedanstående så kanske du kan få fram det du frågade efter...

Funderar på raderna:
-A FORWARD -i eth3.3 -o eth3 -p tcp -j ACCEPT
-A FORWARD -i eth3.3 -o eth3 -p udp -j ACCEPT
-A FORWARD -i eth3.3 -o eth3 -p icmp -j ACCEPT

Vad händer om man byter ut ACCEPT mot maclist?

/ # iptables -L | grep policy
Chain INPUT (policy DROP)
Chain FORWARD (policy DROP)
Chain OUTPUT (policy ACCEPT)

/ # iptables --list-rules
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N bfplimit
-N maclist
-N upnp
-N vpnlist
-A INPUT -i eth3.3 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p icmp -m icmp ! --icmp-type 8 -j ACCEPT
-A FORWARD -i br0 -j maclist
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i br0 -j ACCEPT

-A FORWARD -d 192.168.2.100/32 -p tcp -m tcp --dport xxx:yyy -j ACCEPT
[Ett gäng port-forward-rader för samma IP kommer här...]
[...]

-A FORWARD -i eth3.3 -o eth3 -p tcp -j ACCEPT
-A FORWARD -i eth3.3 -o eth3 -p udp -j ACCEPT
-A FORWARD -i eth3.3 -o eth3 -p icmp -j ACCEPT
-A maclist -m mac --mac-source 68:5D:43:F6:70:07 -j RETURN
-A maclist -m mac --mac-source 00:18:F8:D2:9C:E5 -j RETURN
-A maclist -m mac --mac-source 2C:AE:2B:46:FE:B4 -j RETURN
-A maclist -m mac --mac-source 68:FB:7E:BA:05:36 -j RETURN
-A maclist -m mac --mac-source 30:10:B3:A1:A9:DB -m time --timestart 08:00:00 --timestop 23:59:00 --kerneltz -j RETURN
-A maclist -m mac --mac-source A0:AF:BD:AC:65:8E -j RETURN
-A maclist -m mac --mac-source F4:F5:D8:7C:0C:96 -m time --timestart 11:00:00 --timestop 21:00:00 --kerneltz -j RETURN
-A maclist -m mac --mac-source 00:23:31:D5:21:5E -m time --timestart 11:00:00 --timestop 21:00:00 --kerneltz -j RETURN
-A maclist -m mac --mac-source D0:17:C2:D5:6F:81 -m time --timestart 11:00:00 --timestop 21:00:00 --kerneltz -j RETURN
-A maclist -m mac --mac-source 74:1B:B2:64:21:3B -j RETURN
-A maclist -m mac --mac-source D8:C4:E9:C0:E8:01 -j RETURN
-A maclist -m mac --mac-source 00:0F:FE:96:05:8C -j RETURN
-A maclist -m mac --mac-source C8:69:CD:3A:E2:58 -m time --timestart 11:00:00 --timestop 23:59:00 --kerneltz -j RETURN
-A maclist -m mac --mac-source DC:4A:3E:1B:E6:8A -j RETURN
-A maclist -m mac --mac-source 68:C4:4D:38:2A:07 -m time --timestart 11:00:00 --timestop 21:00:00 --kerneltz -j RETURN
-A maclist -m mac --mac-source B8:BB:AF:2C:DF:7E -m time --timestart 11:00:00 --timestop 21:00:00 --weekdays Mon,Tue,Wed,Thu,Sun --kerneltz -j RETURN
-A maclist -m mac --mac-source B8:BB:AF:2C:DF:7E -m time --timestart 11:00:00 --timestop 22:35:00 --weekdays Fri,Sat --kerneltz -j RETURN

-A maclist -j DROP