Разрешить VNC только для определенного MAC-адреса?

На самом деле это не делает это более безопасным вообще. MAC-адреса могут быть настроены ("имитировавшие") на большей части OSs для большинства моделей NIC. Взломщик мог осуществить сниффинг трафика и просто имитировать Ваш настроенный MAC-адрес.

Вместо этого заставляют Ваш VNC послушать на обратной петле и SSH в машину, используя туннельную функцию SSH для соединения с VNC.

, Если Вы настаиваете на том, чтобы использовать свой небезопасный метод, iptables (netfilter), может сделать это:

iptables -I INPUT -m mac --mac-source 00:XX:YY:ZZ:AA:BB -j ACCEPT

это правило, добавленное к цепочке с DROP ( или REJECT ), политика по умолчанию приняла бы от данного MAC только. Может быть объединен далее для проверки на другие параметры также. В основном я передал бы его к другой цепочке, если бы я был Вами, проверяя сначала на верхних уровнях для соединений с соответствующим портом (портами) (5900?) и затем делают фильтрацию по MAC-адресам. В конце концов, Вы только хотите отфильтровать этот единственный сервис, чтобы быть доступными от этого MAC только - не любой сервис. Если Вы только интересуетесь MAC, и порт сделайте:

iptables -I INPUT -p tcp --destination-port 5900 -m mac --mac-source 00:XX:YY:ZZ:AA:BB -j ACCEPT

Примечание: -m mac требует модуля mac (для netfilter), таким образом, это должно быть доступно.

я только использовал бы такие методы для прекращения котировки меня черного списка. Например, я настроил яму tar для попыток соединения SSH (подобный тому, что sshguard и подобные программы делают). Точно так же, как порт, пробивающий его, мог иметь смысл использовать определенный MAC в качестве сигнала вычеркнуть из списка (т.е. удалить из черного списка) соединяющийся IP. Но как механизм защиты отдельно, никакой путь. Слишком легкий для фальсифицирования.