网络如图：

在中间的Padavan路由器上写规则。左边的设备不能和cf进行v6连接。但是cf能够正常和右边的Server正常v6连接、回源
我的思路是这样
全局先写一条指定mac地址为linux server的白名单，accept来自cf的连接
再写一条地址cf-v6地址的drop规则。
ip6tables -I FORWARD -p tcp –dport 443 -s 2606:4700::/32 -m mac –mac-source 11:22:33:44:55:66 -j ACCEPT
ip6tables -A FORWARD -p all -s 2606:4700::/32 -j ACCEPT
实际发现根本不可行，百思不得其解，是不是我的根据mac地址来accpet的思路错了？
谢谢大神指导！
甘肃网友:上面命令的第二条写错了，动作应为drop
江苏网友:不行是指，哪一方面没达到预期效果？
广西网友:左边的设备屏蔽正常，右边的Server用v6也连不上cf，没法回源
简单点说左边通，右边开。地址不固定
北京网友:不方便模拟场景，，看着策略理论上没问题，，，但是要考虑MAC地址的因素，
在路由器前端抓包，看TCP包是什么MAC地址