Как настроить Iptables + БД и ограничить доступ?

Question

[Михаил Соколов]

Интересует возможность ограничивать доступ к интернету по MAC взятых из БД(mysql, mariadb и пр.)

Наверное есть возможность писать MAC в файл из БД и считывать от туда. Может есть более гуманные методы?

Доки, добрые советы, всё что угодно :)

Answer 1

[Руслан Федосеев]

мсье изобретает hotspot + radius ? ;)

Answer 2

[Михаил Соколов]

Нет, всё проще.. без radius )) но примерно такая же задача, - зареганным пользователям давать доступ :)
Или это намёк куда копать?

Comments

[Руслан Федосеев]

Ну вообще все зависит от задачи целиком ;) Если речь идет об офисе, в котором надо ограничить доступ компам по маку - я бы решал так. Поднял dhcp сервер, им бы раздал фиксированные адреса известным устройствам, неизвестным - некоторый диапазон. Для известных устройств прописал бы правила nat, можно и скорость сразу ограничить. Для защиты от захвата адреса - arpwatch + привязка ip-mac-port на свичах доступа (при возможности).
Если речь идет о чем то другом - то лучше чем hotspot не придумали. По умолчанию трафик перенаправляется на страницу авторизации. Пользователь авторизуется - открывается доступ, можно на некоторый период времени. По истечении времени - повторная авторизация. Если хотите авторизовывать по мак адресу - значит страница авторизации должна получить информацию о маке. Ну а раз у нас уже есть hotspot - то почему бы и не радиус? Получаем стандартизованное решение, на известных протоколах и механизмах, без всяких велосипедов.
Ну или может вообще речь идет о 802.1x авторизации на порту свича? Так там тоже радиус в конце концов ;)

[Михаил Соколов]

Руслан Федосеев: Задача больше схожа с статьёй на хабре
habrahabr.ru/post/119695
Так же читаю
https://xakep.ru/2013/10/29/captive-portal/
Понял, что задачу сходу не решить. Буду читать

[Руслан Федосеев]

микротик с включенным и настроенным hotspot. У нас в сети так работает вифи по городу. Расставляются микротиковские точки, завязаны на единый hotspot и страничку регистрации. Для входа в инет надо в броузере открыть страничку, ввести логин и пароль.
Настраивал не я, но примеров настройки этого удовольствия много....

[Михаил Соколов]

Спасибо за наводку. Может скажете модель микротика? Ну что б наверняка. Заранее спасибо

[Руслан Федосеев]

любой на самом деле. модуль hotspot есть на чем угодно, а от модели зависит исключительно технические возможности.