有什么办法可以让防火墙识别出某个品牌的路由器并允许其通过呢？

可以识别mac地址

@choury 同一品牌的路由器mac地址也不同吧。

@bobopu 怎么会有两个设备mac地址相同呢？

@bobopu 正儿八经的MAC地址都是按厂商分配的 但是MAC很好伪造
http://mac.51240.com/6C-E8-73-62-E4-B4__mac/

@bobopu 默认情况下，品牌路由器都有固定的MAC地址段，像TP-LINK:
http://hwaddress.com/?q=TP-LINK%20Technologies%20Co.,Ltd.

但这个的确很容易伪造。

@lshero
@sxin 那么如何在防火墙中设置对TPLINK路由器的MAC地址段放行呢？

防火墙充当网关做NAT 写一个脚本定时获取客户端的MAC地址 然后调用外部的数据源比对MAC品牌，最后利用iptables 禁用MAC，但是怎么感觉没有意义和应用场景呢

dscp?

路由器都带克隆mac地址功能(也可修改)，秒破。

@gamexg
@lshero 这个也就是防君子不防小人，防小白不防大虾了。如果说说限制某个品牌路由器的mac地址有难度，也可以用户通过提交自己的MAC地址加入防火墙的白名单的方式进入服务器，至于要克隆mac地址，首先得知道白名单用户的mac地址吧。

@bobopu 那限制什么品牌，直接限制到极少的MAC地址能访问不就好了

限制 mac 必须在局域网环境下才行。不清楚你的环境，感觉除非用vlan端口隔离，不然获得局域网其他计算机的mac地址太简单了。

@ehs2013
@gamexg 广域网不能限制mac地址吗？

经过一次路由器包的mac地址就变成路由器出口mac地址了，每经过一次路由器都会有这么一个变化。
到目的地mac地址是对方上一级路由器的地址...

@gamexg 原来这样子啊，唉，看来没戏了。。

很好奇为啥这帖子被墙了，特地翻过来看看😓