Судя по другим вашим вопросам есть два варианта.
1. У вас сложности психологического характера.
2. Вас кто-то "абюзит", внушая вам, что вас взламывают.
Поскольку вы не привели в своих вопросах никаких признаков взлома, вероятно пункт первый.
Обратитесь к специалистам.
Василий, dc должно быть минимум два, на двух разных физических машинах.
Если вам нужно на одной машине разместить dc и ts, то действительно лучше их сделать двумя виртуальными машинами, только нужно изучить рекомендации о виртуализации dc, там есть своя специфика. Но я не уверен, что ваша проблема именно в этом, это один из вариантов, а отсутствие в dc стороннего софта - бест практис.
Lizard, на самих интерфейсах, а не которые вы формируете.
Я не силен в scapy.all, но по идее в проводной сети у вас ответ на неизвестный мак пойдет во все порты. В wifi, насколько я представляю, вы не получите ответ на не свой мак.
ID пользователя это нормализация данных.
Login пользователя, если id и login это не одно и то же, это денормализация данных.
Денормализация данных всегда должна иметь веские причины, если их нет данные должны быть нормализованы.
Вы данные денормализовали, но дальше прикладываете усилия для сохранения их согласованности с нормализованным данными, зачем?
izuru_hitachi, сейчас под рукой mikrotik нет.
Правильное решение vlan.
На некоторых тиках можно mak based vlan.
Вероятно можно ещё фильтрацию mac адреса использовать и таким образом заблочить dhcp для не телефонов.
ITF, если очень упрощённо gpo это просто текстовый файл, который клиент забирает с сервера и применяет на себя( сам применяет ). Не удивительно, что samba может хостить gpo. Но linux клиенты не умеют gpo применять.
Фактически в linux полного аналога gpo нет и подход к управлению несколько иной, я бы даже сказал, что такого как windows управления в linux нет.
Ansible это открытая платформа, у нее два типа лицензий открытая и платная.
Если единственная задача, это обновление ПО, то ее можно решить скриптами.
Kenny00, попробуйте сделать log на drop forward, посмотрите, какой именно пакет дропается.
ИМХО конечно может быть дело и в каких-то особенностях работы hash:ip,port, например я сталкивался, что без указания протокола прямо в правиле оно не работает с ipset если там указан протокол.