In unserem Unternehmen verfügen wir über mehrere Zugangspunkte. Fürmanche von ihnenIm Produktionsbereich sollte deren Nutzung für den Internetzugang untersagt sein.
Unser Router hat (mindestens) zwei Schnittstellen: eine für den lokalen Datenverkehr (intif) und eine für den Internetzugang (extif).
Gibt es eine Möglichkeit, dies nur mit iptables-Regeln zu handhaben?
Ich habe bereits versucht, die Weiterleitung der AP-MAC-Adresse zu blockieren, aber das verhindert offensichtlich nur, dass der AP selbst auf das Internet zugreift.
Antwort1
Wenn Sie keinen DHCP-Server haben und den Router und die APs zum Bereitstellen von DHCP verwenden, können Sie den jeweiligen APs, von denen aus Sie nicht auf das Internet zugreifen möchten, unterschiedliche IP-Bereiche zuweisen und dann mit iptables den Datenverkehr von diesen IPs blockieren. Sie müssen also kein neues Subnetz erstellen und können auch untereinander kommunizieren.