¿Cómo se agrega una lista blanca de enrutamiento basada en MAC con DD-WRT y el cliente OpenVPN?

Tengo un cliente OpenVPN configurado en mi enrutador doméstico DD-WRT que mantiene una VPN en mi lugar de trabajo.

Ligero problema: no quiero que los usuarios aleatorios que acceden a mi AP inalámbrico tengan acceso a la VPN de mi empresa. (sí, está asegurado aceptablemente bien, pero tengo razones para tomar más medidas).

¿Se iptablespuede convencer de denegar el enrutamiento a todas las direcciones MAC de origen, excepto algunas selectas que especifico? Intenté usar el --mac-sourceparámetro de la siguiente manera:

iptables -I FORWARD -i br0 -o tap0 -j REJECT
iptables -I FORWARD -i br0 -o tap0 -j ACCEPT --mac-source 00:01:02:03:04:05

La REJECTregla funciona, pero la ACCEPTregla no. (tenga en cuenta que el -Iparámetro se está utilizando para garantizar que la ACCEPTregla venga antes que la REJECTregla).

¿Alguien más ha tenido experiencia configurando una lista blanca como esta?

Según tengo entendido, su problema aquí es que las direcciones MAC son solo una opción válida para las tablas PREROUTING y POSTROUTING. Hice esto de la siguiente manera torpe ...

1. En la tabla de enrutamiento previo en la interfaz entrante de la LAN, seleccione la dirección MAC de la máquina que desea dejar pasar y use DNAT para alterar la dirección IP a una de su elección que de otro modo no estaría en uso.

   -A PREROUTING -i eth1 -m mac --mac-source xx: xx: xx: xx: xx: xx -j DNAT - a 192.168.2.200 -m comentario --comentar "máquina para permitir"

2. En la tabla FORWARD, establezca una regla para aceptar esa IP, con una política para FORWARD que, de lo contrario, eliminará todo el tráfico.

   -A HACIA ADELANTE -s 192.168.2.200 -j ACEPTAR