Иногда встречаю требования фильтровать MAC-адреса. MAC-адрес приписан каждой сетевой карте производителем, пользователь может его изменить. Он используется для адресации в локальных сетях (LAN), а если быть точным внутри одного широковещательного домена или VLAN. Про широковещательные домены и VLAN хорошо рассказывает автор блога " Сети для самых маленьких ". Для примера этот адрес важен для работы ARP протокола или старых забытых IPX/SPX.
IP адреса используются для адресации в глобальных сетях (WAN). Соответственно на этом уровне работает маршрутизация. На каждом маршрутизаторе происходит переход из одного широковещательного домена в другой, поэтому какой именно MAC-адрес у сетевой карты на этом уровне абстракции уже невозможно проверить, потому что информация о MAC-адресах из соседнего широковещательного домена стирается маршрутизатором в заголовке фрейма (кадра) и недоступна в другом широковещательном домене. Подробно как это происходит описано в статье https://habr.com/ru/articles/707598/
Если вы хотите фильтровать по MAC-адресам, то значит вам нужно каким-то образом установить вашу систему фильтрации внутрь каждого широковещательного домена. Поскольку различных VLAN и физических сетей обычно сотни в компании, то это выльется в сотни фильтрующих устройств.
Примером глобальной фильтрации и маршрутизации является почта: вы адресом указываете страну, город, улицу, дом и по этому критерию направляете письма. Примером локальной адресации уже является сама пересылка письма внутри квартиры. Возможно вы это письмо отнесете в кабинет, зал, спальню, кухню или туалет. Было бы странно, если вы еще попросили почту контролировать куда происходит доставка писем: в туалет или кабинет. Хотя, для кого-то это является важным. ) Но почта это уже проверит не может..
