Здравствуйте. Я начинающий системный администратор (по сути, продвинутый эникей). Стоит задача проложить небольшую сеть (всего 10 компьютеров). Из этой сети только три компьютера должны получать доступ в Интернет. Остальным Интернет противопоказан, и они должны получать доступ только к локальной сети. В качестве шлюза будет использоваться Linux сервер с NAT и Squid. Все это настроить не проблема, но возникает два вопроса:
1) Как лучше сделать ограничение на использование Интернета (напомню, доступ в Интернет должен быть только у трех компьютеров). На ум приходит только ограничение по MAC с помощью iptables.
2) Один из компьютеров - ноутбук. Поскольку он всего один, то WiFi делать смысла нет, и ноут подключается по кабелю. Юзер, который работает за ноутом, может раздать свой интернет через WiFi модуль. Т.е его ноутбук будет выступать в роли точки доступа, которая позволит кому-угодно выходить в интернет. Можно ли как-то с этим бороться?
Ну если человек может раздать свой инет через вайфай, я думаю он и другой путь сможет найти :)
Завести в домен - эта шутка такая новая с 10 компами заводи их в домен :)
Делайте НАТ только для трех айпишников и мозги не еб*те не себе не пользователям. (т.е. NAT не сеткой /24...)
1. Maksim ответил.
2. Если ноутбук не выносной - завести админскую учетку и отобрать права у пользователя. Ну или забыть про отсутствие интернета у остальных :)
Если так радикально стоит задача ограничивать доступ, то лучше пойти "юридическим", а не техническим путем. Даете доступ 3 ип (макам) и через месяц-два отчет о посещенных узлах начальству.
Иначе ограничение на запуск вайфая, запрет на подключение флэшек, пароли на биос и прочие радости, которые не элементарно, но обходятся.
Для ограничения можно использовать как Squid, так и iptables, можно поднять VPN сервер. Но всё это можно обойти запустив прокси на разрешенных компах. Так что, как и сказал nfire "юридический" момент никто не отменял.
Для ноутбука можно вытащить карту вай-фай.
От раздачи интернета по Wi-Fi можно защититься просто отфутболивая на маршрутизаторе пакеты с TTL больше 1 на локальном интерфейсе. Но, соглашусь с Vladislav_vb от прокси это не спасет.
