액세스 포인트와 별도의 장치에 있는 종속 포털

'Rube Goldberg' 유형 배열을 사용하면 가능할 수도 있지만 실제로는 이를 안전하게 수행하는 것이 불가능합니다.

PI에서 DHCP 라우터를 사용자 정의하고 릴리스될 때까지 짧은 임대 시간을 제공하고 전달된 IP 주소를 수정하면(라우터에서 DHCP를 활성화하지 않음) 대략적으로 완료할 수 있을 것 같습니다. 간단한 정적 주소 지정으로 이를 우회할 수 없도록 전투를 벌입니다.

캡티브 포털 이외의 모든 장치에서 WAN으로의 포트 DNS(포트 53 요청)를 허용하지 않고 DHCP를 통해 캡티브 포털 DNS를 전달하는 라우터의 협력을 통해 비슷한 결과를 얻을 수 있습니다. 종속 포털은 사용자가 해제될 때까지 자체적으로 DNS 응답을 제공합니다. 하지만 이는 간단한 VPN이나 ​​터널을 사용하여 전복될 수 있습니다.

보이는 것보다 훨씬 더 어렵습니다(여가 시간에 가지고 놀고 있는 것 - 그다지 많지는 않습니다!). 그러나 라우터에 따라 DD-WRT의 최신 버전에 내장된 "Wild Dog"와 같은 것이 될 것입니다. - 당신을 위해 일하십시오 - 라우터가 기본 캡처를 수행하고 포털 작업을 다른 장치에 전달하는 것으로 보입니다.

OpenBSD가 Raspberry Pi에서 실행된다는 점을 고려하면 authpf를 사용하여 각 사용자가 공개 키/비밀번호로 자신의 세션을 인증하고 인증된 클라이언트가 방화벽을 통과하도록 할 수 있습니다. 그러나 실제로는 필터링을 담당하는 라우터에서 직접 가장 잘 작동합니다. 보다https://www.openbsd.org/faq/pf/authpf.html, 구현 예는 Google을 참조하세요.

보다 사용자 친화적인 옵션은 다음과 같습니다.https://coova.github.io/CoovaChilli/ 적극적으로 유지 관리되는 것으로 보이며 RADIUS를 지원합니다.

다시 말하지만, 이는 모든 액세스 포인트/라우터에서 최적으로 작동합니다.

액세스 포인트는 Wi-Fi(링크 계층)를 처리하고 라우터는 IP(네트워크 계층)를 처리합니다. 종종 단일 플라스틱 상자로 결합되지만 여전히 두 가지 별개의 기능을 수행합니다.

따라서 종속 포털의 아이디어는 패킷의 일반 경로를 따라 있는 장치가 패킷을 가로채서 사용자에게 로그인 페이지를 방문해야 한다고 알리는 가짜 "리디렉션" 응답을 생성한다는 것입니다. 리디렉션은 다음을 통해 수행할 수 있습니다.

• iptables(가장 일반적인 방법)를 사용하여 전체 TCP 연결을 가로채는 기본 게이트웨이(라우터)
• "종속" 서버를 가리키는 가짜 DNS 조회 응답을 반환함으로써 DNS 서버(신뢰할 수 없고 우회하기가 매우 쉬움)
• 패킷이 다른 게이트웨이에 도달하도록 패킷 헤더를 다시 작성하여 액세스 포인트 또는 스위치(매우 드물다하지만 기술적으로는 가능합니다)…

그러나 어쨌든 귀하의 "포로 포털" Raspberry가지다일반 경로에 삽입됩니다. "가짜 DNS 서버" 방법(트래픽을 거의 처리하지 않지만 우회하기 매우 쉬운 방법)을 사용하여 구축하더라도,최소한DHCP를 통해 Raspberry의 IP 주소를 제공하려면 기본 라우터를 재구성해야 합니다.

(그리고 많은 저렴한 무선 라우터는 실제로 다음을 허용하지 않습니다.구성즉, 일반 DHCP 서비스를 끄고 라즈베리에서 DHCP를 완전히 제공해야 할 것 같습니다.)

---

즉, 아니요, 저는 "플러그 앤 플레이" 종속 포털 장치를 이런 방식으로 구현하는 것이 가능하다고 생각하지 않습니다.

---

실제로 보안 측면에서 큰 문제가 있습니다. 그 경우~이었다Raspberry Pi는 라우터 구성 없이 간단히 연결하고 모든 사람의 트래픽을 가로채는 것이 가능합니다. 그러면 악성 코드가 있는 악성 클라이언트가 간단히 모든 사람의 트래픽을 연결하고 가로채는 것도 가능합니다.