白名单策略

允许白名单用户连接路由器:

iptables -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

禁止非白名单用户连接路由器：

iptables -A INPUT -m mac --mac-source ! xx:xx:xx:xx:xx:xx -j DROP

上面的MAC地址可以随便填，其含义为除了非MAC地址为xx:xx:xx;xx:xx:xx的流量一律丢弃，这样除了之前的白名单其他用户一律连接不了路由器。

上面已经禁止非白名单用户连上路由，还可以进一步禁止上网：

还是先允许白名单用户：

iptables -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

然后依旧是非白名单用户禁止联网:

iptables -A FORWARD -m mac --mac-source ! xx:xx:xx:xx:xx:xx  -j DROP

现在非白名单用户就上不了网了，如果要添加白名单就添加 ACCEPT 规则，DROP 规则只需要一条就可以了。

黑名单策略

黑名单就是指定MAC地址来源就drop掉，也就是这样：

iptables -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
iptables -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

路由防火墙应用

黑名单规则就是加一个禁一个，黑名单规则越加越多，而且被禁的设备改变 MAC地址就失效了，所以建议使用白名单规则，将自己的设备MAC地址收集好，添加到路由器的防火墙规则中。

在OpenWrt系统防火墙中，一般都会有个 自定义规则，将上文规则一行行添加其中，就像是这样：

# ===just allow mac list in /etc/firewall.user===
#添加MAC白名单ACCEPT规则，有多少个设备就添加多少组
iptables -I INPUT -m mac --mac-source a0:aa:bb:cc:dd:2b  -j ACCEPT
iptables -I FORWARD -m mac --mac-source a0:aa:bb:cc:dd:2b  -j ACCEPT
#禁止非白名单连接路由器&禁止联网
iptables -A INPUT -m mac --mac-source ! a0:aa:bb:cc:dd:2b  -j DROP
iptables -A FORWARD -m mac --mac-source ! a0:aa:bb:cc:dd:2b  -j DROP
# === mac list end===

如果路由器后台界面上无编辑保存入口，可以SSH或者TTYD终端登录路由系统，编辑对应文件 /etc/firewall.user ，保存后重启防火墙。

这里注意，很多教程都写了 iptables -I 添加规则，但又没告诉你 -I 方法默认是压栈添加，第一条添加的会推到规则末尾，而 iptables 执行是自上而下的，如果 drop 规则放在第一条，最后造成无效或者连不上设备。
iptables 命令的管理控制选项解释：

• -A 在指定链的末尾添加（append）一条新的规则
• -D 删除（delete）指定链中的某一条规则，可以按规则序号和内容删除
• -I 在指定链中插入（insert）一条新的规则，默认在第一行添加
• -R 修改、替换（replace）指定链中的某一条规则，可以按规则序号和内容替换
• -L 列出（list）指定链中所有的规则进行查看
• -E 重命名用户定义的链，不改变链本身
• -F 清空（flush）