貌似有些异想天开。如果某台服务器只想让某个品牌的路由器用户连接该怎么做，能否在防火墙上实现识别呢？不过这似乎又牵扯到该路由器是否有什么网络特征之类的吧。。。
可以识别mac地址

同一品牌的路由器mac地址也不同吧。

怎么会有两个设备mac地址相同呢？

正儿八经的MAC地址都是按厂商分配的 但是MAC很好伪造
http://mac.51240.com/6C-E8-73-62-E4-B4__mac/

默认情况下，品牌路由器都有固定的MAC地址段，像TP-LINK:
http://hwaddress.com/?q=TP-LINK%20Technologies%20Co.,Ltd.
但这个的确很容易伪造。


那么如何在防火墙中设置对TPLINK路由器的MAC地址段放行呢？

防火墙充当网关做NAT 写一个脚本定时获取客户端的MAC地址 然后调用外部的数据源比对MAC品牌，最后利用iptables 禁用MAC，但是怎么感觉没有意义和应用场景呢

dscp?

路由器都带克隆mac地址功能(也可修改)，秒破。


这个也就是防君子不防小人，防小白不防大虾了。如果说说限制某个品牌路由器的mac地址有难度，也可以用户通过提交自己的MAC地址加入防火墙的白名单的方式进入服务器，至于要克隆mac地址，首先得知道白名单用户的mac地址吧。

那限制什么品牌，直接限制到极少的MAC地址能访问不就好了

限制 mac 必须在局域网环境下才行。不清楚你的环境，感觉除非用vlan端口隔离，不然获得局域网其他计算机的mac地址太简单了。


广域网不能限制mac地址吗？

经过一次路由器包的mac地址就变成路由器出口mac地址了，每经过一次路由器都会有这么一个变化。
到目的地mac地址是对方上一级路由器的地址...

原来这样子啊，唉，看来没戏了。。

很好奇为啥这帖子被墙了，特地翻过来看看