Александр

Подозреваю, что цель этого действа - исключить утечку информации со служебного ноута, но тогда надо и USB блокировать и принтеры. Если ноут выносится за пределы стационарного места расположения, и у сотрудника есть умысел, то скорее всего ваши процедуры ни к чему не приведут. Проще забрать ноут и выдать почтового голубя.

openvz более продуктивно использует ресурсы системы нежели виртуалки и гипервизоры(KVM, Xen)

В ТЗ может быть иные требоевания нежели высокая продуктивность: высокая изоляция хост системы от гипервизора, винда в качестве хост системы, как подметил в комментарии может быть требование запускать в виртуалке контейнеры docker/lxc (лично такой изврат видел), ...

Были статьи о проблемах с контейнерами openvz при обновлениях системного ПО ресурсной системы.

Пытаюсь понять: какие подводные камни у openvz.

Для этого и не только можно использовать поиск в форматах: fuckin openvz или trouble openvz.

Вообще, что надо?

В общем случае - нет. Можно попытаться построить некоторые предположения и проверить их.
- если IP резолвится в имя, принадлежащее VPN-сервису - скорее всего VPN используется. Для этого нужно иметь списки IP, принадлежащие наиболее известным VPN-сервисам.
- если IP резолвится в имя, принадлежащее крупным датацентрам, есть некоторая вероятность того, что это "частный" VPN, который юзер поднял сам для себя.
- если запросы от юзера приходят одновременно с двух разных IP - как правило из-за ошибок маршрутизации, когда не все запросы направляются через VPN - можно предположить, что он за VPN
- если например на русскоязычный ресурс заходит браузер с русской локалью, но IP принадлежит Европе или Пиндосии - есть некоторая вероятность того, что это юзер, прошедший через VPN

В общем случае -- нет. Можно попытаться разве определить принадлежность адреса к одному из пулов общедоступных VPN-сервисов.

Не обязательно запоминать номера для каждого флага:
chmod u=rwx,g=rs,o=rx /usr/bin/crontab

10.0.0.0/8 - это адресный пул.
Однако, каждый абонент живёт в отдельном Point-to-point-тоннеле.

Вообще, ip-броадкаста в мобильном интернете нет за ненадобностью.
Есть что-то вроде мультикаста (MBMS, прости Господи), который полностью управляется оператором и работает строго в одну сторону: из специального узла сети в сторону абонента.

Поэтому:
1. То, что несколько разных корпоративных клиентов оказались не просто в одной ip-подсети (это ещё ладно бы), а ещё и увидели друг друга - это, конечно, безобразие, стыд и позор.

2. То, что traceroute показывает один хоп, тоже нормально: ip-пакет из одного ppp-тоннеля в другой вполне можно переложить и без уменьшения TTL, а зациклить ip-пакет не даст проверка на совпадение source ip address и собственно ip-адреса, выделенного абоненту.

3. Запинговать/зафлудить кого-либо насмерть теоретически можно, но при условии, что uplink-канал отправителя шире, чем downlink жертвы (например, если флудить из более новой технологии пользователя более старой: 3G -> GSM или LTE -> GSM). Однако, нагадить всем разом не получится, гадить придётся поштучно и с постоянным страхом получить по ушам за хулиганство от оператора.

Как раздать интернет в локальную сеть без прокси?

1)Поднять DHCP сервер.
2)Раздать по DHCP адреса, шлюз, и DNS.
Все.

1 шаг - получить базу фундаментальных знаний в выбранной сфере (в это же время можно сформировать некое начальное портфолио)
2 шаг - изучить основы маркетинга для дальнейшего построения общения с клиентами
3 шаг - изучить рынок на предмет ценовой политики для формирования собственной стратегии роста и постановки первоначальной почасовой ставки
4 шаг - оформить профили на фриланс биржах основываясь на знаниях полученных выше и примерах профилей успешных фрилансеров(не копировать, а писать своё)
5 шаг - начинать посылать отклики на проекты, выполнение которых требует не меньше ~70% текущих знаний
6 - повторять 5 шаг, корректируя стоимость часа, до "устаканивания" в среднем рейте по сфере, регулярно обновляю информацию в профилях на биржах и пополняя портфолио завершёнными проектами - с чёткой детализацией выполненных задач в них.
7 - не забывать продолжать развиваться в выбранной сфере и нишеваться в узких направлениях если изначально было выбрано слишком широкое

Альтернатива фрилансу - бодишопы по типу топтал, при этом процесс тот же самый, только клиентов человек будет подбирать не сам, а их будут подбирать для него дядьки, которые будут брать за это ~половину его заработка

Похоже на кардридер

Очень похоже на картридер для обычной Secure Digital.

Делайте свой проект, только не просто визитку, а что-то типа saas там скил сразу растёт очень быстро. Ну либо берите какие-то проекты на заказ от друзей но сразу предупредите что будет не быстро.