Mikrotik RB3011. Как запретить обновления мобильных устройств (iOS, Android)?

Question

[id_mojno_vse]

Всем добра!
Стоит задача запретить гаджетам сотрудников (iOS, Android) обновлять софт через офисный Wi-Fi.
Топология следующая:
1. Mikrotik RB3011
2. "Wi-Fi Server". Это машина с WinSRV2008R2 на борту, раздающая DHCP в отличном от локальной сети диапазоне на UniFi тарелки
3. Сотрудники, точнее их гаджеты получающие доступ в сеть через UniFi тарелки.
Что посоветуете?
Спасибо!

Comments

[Дмитрий]

Если у вас канал лимитный (спутник или просто лимит мо мегабайтам), то доступ нужно предоставлять строго по белым спискам (запрещено всё что не разрешено). Но если канал безлимитный, какой прок от этого? Полосу расчистить? Так вам больше неприятностей создадут торренты или простотр видео на ютубе через wifi.

[h8nor]

Не проще скорость ограничить?

Answer 1

[Сергей]

Можно добавить в L7 домены (указаны ниже) и получать список IP которые потом блокировать правилом в фаерволе или явно прописать в DNS блокировать запросы к серверам.
Домены google: play.google.com и android.clients.google.com
Домены apple: itunes.apple.com

Comments

[id_mojno_vse]

получать список IP? логировать?

Answer 2

[Aborigen1020]

Можно на микротике запретить резолвить днс апп- и гугл-стора, для определенного листа. решение в лоб

Answer 3

[Михаил]

А можно добавлять мобильные устройства в свой адрес-лист при выдаче аренды DHCP а потом уже резать как угодно доступы без ущерба для других устройств. Делал такое на гостевом вайфае, чтобы сильно не загружали сеть посетители всякие. Там же можно рубить по обьему траффика с одного мака, чтобы менеджеры не сидели в инете со своих мобильников, просаживая канал для посетителей