Citat:
Informer: A zar ne bi bilo lakse tim MAC adresama na DHCP-u dodeliti staticke IP adrese i onda te adrese juriti po listama umesto MAC-ova?
To bi značilo da za svakog korisnika na svakom AP-u moram ručno upisati MAC-IP parove. I stanje bih morao ažurirati ručno ako netko promijeni pristupni uređaj ili slično.
Citat:
zivanicd: Napisi nam sta si trenutno uradio (kako to otprilike trenutno radi) i sta bi novo/bolje hteo da postignes... Ovako se samo vrtimo u krug...
Trenutno na jednoj linux mašini bildam firewall pravila, spajam se na mikrotik s te mašine putem ssh, brišem postojeća pravila i postavljam nova (od kojih je 99,9% istih, najčešće se mijenja/dodaje par zapisa). Ovo je više-manje automatizirano, mada tu zna biti problema, i događa se jednom dnevno po noći.
Trenutna situacija:
- Svi se mogu spojiti na mrežu. Oni čije MAC adrese nisu u whitelisti imaju pristup samo do nekih desetak web stranica. Ukoliko pokušaju pristupiti drugim stranicama redirekta ih se na interni sajt s podacima i linkovima na dozvoljene stranice.
- Oni čije mac adrese jesu u whitelisti (za svaki mac ima par pravila) dopušta se pristup svugdje.
Željena situacija:
- Svi se mogu spojiti na mrežu. Uređaji s nepoznatim MAC adresama mogu posjetiti samo određene sajtove.
- Uređaji s poznatim adresama imaju pristup mreži + određenim sajtovima.
- Uređaji koji su ulogirani na lokalni XMPP imaju pristup kompletnoj mreži i svim resursima, bez obzira je li njihova mac adresa poznata ili ne.
Kompromis koji je dovoljno ok ako gore spomenuta željena situacija nije moguća:
- Svi se mogu spojiti na mrežu i pristupiti samo određenim stranicama.
- Oni koji su ulogirani na lokalni XMPP mogu pristupiti svemu.
Gledam
ovo i sve mi se čini da mi to pokriva ovaj kompromisni slučaj. Ima li šanse da na smislen način ostvarim željenu situaciju?
Mangle nikad nisam koristio tako da mi takvo rješenje nije niti palo na pamet. U svakom slučaju pročitat ću o tome.