经过一些确认,我认为在这种情况下是正确的。
我们有一些有线和无线机器,目前有直接的互联网接入。 我也有一个Linux(Ubuntu)服务器,用作networking的文件服务器。
本质上我想能够打开和closures机器的互联网访问。
我的计划是通过路由器的MAC地址阻止这些机器。 然后,我会在Linux上设置一个代理服务器(即Squid),以便我想限制的机器可以通过代理访问互联网。 因为我可以通过squid调整访问权限,所以我可以打开或closures一台机器访问互联网,而无需进一步调整路由器的MAC规则。 当然,我可以进一步创build一些脚本来协助完成此pipe理任务。
这听起来不错,我看了什么? 任何帮助不胜感激。
西蒙。
如果你想控制HTTPstream量,那么像squid这样的代理服务器是有意义的,因为它提供了阻止特定IP /域/ URL等的机制。
如果您想阻止特定机器的Internet访问,可以通过以下几种方式完成:
解决这些问题的办法是阻止这些机器用户的pipe理员访问权限(不能更改MAC / IP),或者在pipe理交换机上具有类似端口安全性(如果可用)。
这个系统的最佳select是mikrotik路由器操作系统 :它支持你想要的所有东西,而且使用起来也很简单。 它有一个会计服务器+代理服务器和…
我只能想到一点:机器可以改变其networking接口的MAC地址。 在这种情况下,你的过滤可以绕过…
但是我看不出有什么可以做的,所以你尽可能地安全。
你能告诉我们为什么selectMAC地址作为过滤的基础吗? 如glglgl所述,MAC可以由用户改变。
您是否有必要规划您是否可以为给定networking上的任意单个主机定义规则? 我要去的地方是,如果你打算一次把一个新的configuration发给一个组,那么IP子网就是要走的路。
潜在地,用户可以改变他们的IP,甚至可以欺骗它,但只能在他们自己的广播域内。 如果他们试图设置/欺骗到一个不同的子网IP,那么在这种情况下,networking根本不会将数据包路由回主机,这无助于他们绕过你的阻止scheme。
您可以使用有线和无线EAP将您的机器分成两个VLAN,并且不带互联网接入。