经过一番确认后,我在这个场景中的想法是正确的。
我们有许多有线和无线机器,目前可以直接访问互联网。我还有一台 Linux(Ubuntu)服务器,用作网络的文件服务器。
本质上,我希望能够打开或关闭机器的互联网访问。
我的计划是通过路由器上的 MAC 地址阻止这些机器。然后,我将在 Linux 机器上设置代理服务器(即 Squid),以便我希望限制的机器可以通过代理访问互联网。由于我可以通过 Squid 中的 ACL 调整访问权限,因此我能够打开或关闭机器对互联网的访问,而无需进一步调整路由器的 MAC 规则。当然,我可以更进一步创建一些脚本来协助完成此管理任务。
这听起来合理吗?我是否忽略了什么?非常感谢您的帮助。
西蒙。
答案1
如果您想控制 HTTP 流量,那么像 squid 这样的代理服务器就很有意义,因为它提供了阻止特定 IP/域/URL 等的机制。
如果您想阻止特定机器的 Internet 访问,可以采用以下几种方式:
- 您可以在路由器上阻止特定的 MAC 地址,但您应该知道任何机器都可以更改其 MAC 地址。例如,如果用户在机器上具有管理员权限,他将能够更改 MAC 地址。
- 您可以在路由器上阻止特定 IP 地址。同样,任何管理员用户都可以更改机器的 IP 地址,因此您的访问列表将变得毫无用处。
解决此类问题的方法是阻止这些机器的用户进行管理员访问(不能更改 MAC/IP),或者在托管交换机上安装类似端口安全的功能(如果可用)。
答案2
该系统的最佳选择是mikrotik 路由器操作系统:它支持您想要的所有东西,并且易于使用。它有一个会计服务器+代理服务器和...
答案3
我能想到的只有一点:一台机器可以更改其网络接口的 MAC 地址。在这种情况下,您的过滤可能会被规避……
但我认为你对此无能为力,所以你尽可能地接近安全。
答案4
您可以使用有线和无线 EAP 将您的机器分成两个 VLAN,一个可以访问互联网,一个不可以访问互联网。