Дано: ubuntu 16.04 -программный шлюз iptables, isc-dhcp-server, squid, за шлюзом лок.сеть 50 компов, воздушных так и проводных, все получают Ip через шлюз убунту. Нужно в срочном порядке запретить определённому пользователю доступ на единственный ресурс, а именно youtube.com. (squid спёкся). Запрет через цепочку forward iptables не катит, так как пользователь просто меняет ип. на другой статический. Знаю,что в цыске в настройках дхцп, можно резать таких хитрых пользователей и запретить стат. адреса. Как это реализовать в ubuntu? привязка по маку не катит, так как пользователь и мак. спокойно меняет. Стат. arp таблица? но тогда придется прописывать стат. arp на каждом хосте - это гемор. Через упр. свитч? как реализовать? в общем ваши идеи буду рад выслушать!
Если свич умный, то вынести данного достопочтенного юзера в отдельный вилан и для этого вилана либо резануть скорость в инет. Либо установить лимит трафика. Либо настроить ограничения. Я думаю что уж по розеткам он у вас точно с проводом не начнёт бегать). Вообще я придерживаюсь мысли что один порт - один айпишник. Остальное дропать. ) но это уже нужна соответствующая железка. Или поднять pppoe сервер. Всех пересадить на него ... и дёшево и полный контроль за учетками)))
Либо внедрить AD в сети. Тогда просто политиками безопасности заблокировать возможность менять сетевые Настройки. Придётся оооочень попотеть чтоб обойти это
Сергей В отдельный влан никак, потому-что там на acces уровне стоит тупая железка, которая уходит в порт умного свитча, да и задача стоит не ограничить скорость, а запретить отдельный ресурс
ограничение объема трафика стимулирует уменьшение его потребления. приходишь потом к директору и говоришь - данный человек сожрал свой трафик видюшками на ютубе. смотрел неделю беспробудно. причем это забивает канал и мешает другим работать. и с ним разберутся быстро
Можно поступить от обратного. Все маки в сети известны. Выдать им аренду и сделать привязку ипов по макам. В инет выпускать только определенный пул айпишников. Ну и что что он сменит мак) .... данного мака в базе не будет и идёт он лесом.
Денис Сечин: я знаю как это называется. Я так же знаю как называется попытка городить грабли когда есть готовые .... очень часто даже бесплатные! ... специализированные решения. Микротик стоит 4000. Ты считаешь что фирма останется без штанов?)
Dmitry Tallmange: С циской всё гораздо проще, со squid да ещё и с блоком по https не сталкивался, дадите годный линк, мануал попробую поковырять, но сейчас это задание горит!
Денис Сечин: squid нормально блокирует https адреса даже без плясок с бубнами - стандартная типовая настройка. В этом случае он не видит полный УРЛ, но адрес сайта ему доступнен.
Обычно таким пользователям выносится строгий выговор за использование интернетом не по назначению, с записью в трудовую и лишением премии.
Вопервых от смены мака и ип помогает белый список. И во вторых можно действовать административным путем запретив пользователю что-либо менять, пользоваться личными ноутбуками в корпоративной сети и т.д.