Здравствуйте. Стоит интересная задача. Есть некая небольшая сеть. В качестве шлюза в интернет Linux-компьютер на базе CentOS. Доступ в интернет разрешен только некоторым компьютерам (фильтрация по IP адресам через iptables. В конфиге DHCP адреса строго привязаны к MACам). Продвинутый пользователь, имея ноутбук подключенный по кабелю, или компьютер с WiFI-адаптером, может сделать открытую точку доступа посредством организации NAT'а на своем компьютере. Надо это как-то запретить. На ум пришло следующее - блокировка по TTL. Все пакеты, отправляемые напрямую шлюзу (через неуправляемый коммутатор) имеют TTL равный 64. При проходе через NAT TTL уменьшается на единицу, т.е он уже равен 63. Поэтому, можно отсекать все пакеты с TTL = 63 из локалки на шлюзе через Iptables, что я и делаю (enp2s0 - интерфейс, "смотрящий" в локалку):
iptables -A INPUT -i enp2s0 -m ttl --ttl-eq 63 -j DROP
Подключил ноутбук с линуксом по кабелю, раздал вай-фай, поднял NAT и подключил к этой ноутбуковской точке доступа планшет. Но, к сожалению, моя идея не сработала. На планшете сайты открываются (примечание: очень долго открываются. Если убрать вышенаписанную строчку iptables, то сайты открываются гораздо шустрее).
Большое спасибо, что дочитали до конца. Где я таки неправ?
