[Wi-fi] удобная организация.

hostapd (или точка доступа умеющая радиус) + радиус сервер. А на радиус-сервере можно уже накрутить какие угодно политики и веб-морду нужную.

Вайфай клиент авторизуется в сети по логину-паролю (через EAP-TTLS к примеру), и уже радиус решает - давать ему доступ или нет. Ну а дальше дело твое, писать морду к радиусу и т.п. Там всё очень гибко.

беги оттуда, беги :) вайфай - зло, а неконтролируемый и неогороженный вайфай - еще большее зло :)

Генерировать сертификаты, и разбираться в каком-нибудь блекбери с Итальянским языком на борту, корячить их туда и всё прочее..? Не, спасибо.

Да не, в целом всё очень устраивает меня. Ну не хочет если главбух чтоб бухгалтера вместо того чтоб разбираться почему в отчёте расхождения сидели в быдлоодноклассниках...

Ставишь WPA2 preshared key и сообщаешь его руководству. И не сообщаешь всем остальным.

Поскольку

гостей всегда кто-то из начальства сопровождает

=> у гостей пароль всегда будет. У начальства тоже.

chlispot или любой другой walled garden. можно еще на monowall посмотреть.

Сертификаты для того же TTLS не нужны клиентские. Просто логин-пасс и всё. Все современные телефоны умеют работать с ним. Ну, дело хозяйское.

Такая схема сделана и сейчас, но пароль с течением времени «утекает»... Начальник сообщил одному подчинённому, по необходимости, а тот «без палева» уже отдал в офис его через прошествие времени. - А смена пароля на точке ведёт к тому, что необходимо менять его и на всех клиентских устройствах - начальство недовольно.

Можете привести use case из вышеперечисленных решений, который подойдёт для меня?

Дело в том, что всяких чудес в виде Radius и прочих прелестей мне в целом не требуется, требуется дать гостям и кому надо Интернет на ихние игрушки. Всё.

monowall и прочие это не плохо, но там нельзя выставить правила firewall на определённый срок «до». А всякие chlispot это в первую очередь коммерческий доступ. Каждый раз при обрыве вводить снова пароль никто не будет. Надо чтоб было максимально просто на стороне клиента всё сделать.

Привязка ip к mac адресу, разные правила iptables.

При первом включении новое клиентское устройство получает адрес из сети которая тупо перенаправляется на одну статическую страницу и больше ничего не имеет. При этом ты получаешь новый mac адрес. Можно сделать на странице форму где требовать комментарий (представиться), что бы тебе не копаться в куче маков.

Ну да, это ближе всего, только я вот думаю, как с наименьшими костылями этого всего добра добиться.

И в Вашем случае клиент должен будет переконектиться, чтоб получить другой адрес, а идеальный случай это конечно-же не объяснять Итальяшке, что он должен переконектиться, а просто чтоб у него всё заработало без лишних вопросов, то есть я хотел бы сразу отдать ему валидный адрес.

Не надо переподключаться. Просто меняешь правила для этого адреса.

Приходит клиент, подключает wifi -> доступа нет (страничка-инфо)

-- опрашивается по snmp коммутатор на наличие новых mac, если есть - message to admin --

Скрипт добавляет правило iptables -A FORWARD -m mac --mac-source ff:ff:ff:ff:ff:ff -j ACCEPT

доступ есть.

Да, и как это сделать по уму, и попроще? В этом и вопрос. У меня к примеру есть некий range, пришёл гость (гостей может быть и пять одновременно!), тыркнул, получил коннект, его сопровождающий позвонил в отдел, я спросил кто-это, написал сам комент к примеру: Испанец1, Испанец2, Испанец3, спросил как долго они тут будут сидеть, мне сказали две недели, я скзаал ок. И у них появился Интернет. Через две недели чтоб удалилось всё это дело. А вот начальство, чтоб мне позвонило, и я написал что надо держать это дело скажем 2 года (за два года они себе телефон так или иначе сменят скорее всего, ну через два года позвонить ещё раз это уже не есть трудность на самом то деле). Сами понимаете, объяснять группе из 5ти человек, что им надо ввести куда-то какой-то комментарий надо, уже не столь просто.

А если речь идёт о разбросанных точках доступа и не совсем управляемых свитчах на пути к ним... И если я сделаю точку открытым, чтоб мне тоже не ломились сообщения о том что всякий дурень попробовать Интернет решил...

не совсем управляемых свитчах на пути к ним

достаточно arp -n на шлюзе

не ломились сообщения о том что всякий дурень попробовать Интернет решил...

а в случае каптив портала тоже дурни будут каменты слать

Комментарий можно не делать, он вообще нужен только тебе что бы отличать кто из них кто. Можно сделать его необязательным, кто не вписал - ждёт полчаса (пока ты работаешь, пыхтишь, разбираешься в этих их адресах), кто вписал - получает сразу. Может быть так подоходчивей будет

На чём это строить - не подскажу, но здесь говорили красивое слово «радиус», может быть оно как раз отсюда.

и что тебе при твоих условиях мешает давать временный доступ (1 час - 1 неделю) и/или по лимиту трафика в час/неделю?

Ну будет твой итальянец раз в неделю тыкать на страничке инфо «подключиться» и что?

Так как у тебя нет авторизации, значит любой дурень сможет воспользоваться твоими ресурсами. Либо делай авторизацию

Vpa2psk в любом случае должно быть. Даже если оно шуточное и все знают ключ, хотя бы трафик друг у друга не слушать.

Во, я тоже думаю, что Вы дело говорите! Придумал. Скрипт каждые 3 мин. смотрит arp -n, сверяет правила iptables с маками в кеше арп таблицы, если видит новый mac куда-то его откладывает. Я запускаю некую утилитку, и оно говорит, за последние минуты тут вот появилось новое устройство, дать ему Интернеты? Я говорю дай! Оно спрашивает на сколько батенька? Я говорю да на пару недель. Или дай на пару лет. Оно говорит хорошо. И где-то отмечает что это правило надо через две недели вынести с этим маком из iptables.

Огромное спасибо, я не знал что iptables умеет по MAC правила строить.

Вопрос, как более просто через n времени вынести MAC правило из iptables файла с правилами? at? Или что-то покошернее есть навроде модуля time в iptables? Жаль, что он мне не подходит похоже...

Ну да, я понимаю, что априори нешифрованная сеть есть плохо. И что маки можно своровать, и подменить, да только я не думаю, что в промзонах особо этим будет кто-то морочиться. Впрочем да, можно повесить пароль на WPA2 в открытый доступ.

начальство недовольно.
Начальник сообщил одному

Пусть не сообщают => будут довольны.

Ну один начальник любит всякую херню на подобии: ааа, вышла новая прошивка!!! Срочно надо накатиться!!! И офисный подчинённый попросил тоже ему за одно обновить... И пошло поехало... Потом менять пароли ох как и не вариант...

часть сотрудников на уровне начальства имеет запрет на Интернет (как на wi-fi, так и на проводной) - причина низкая производительность труда и дороговизна офисного канала Интернет

я бы не стал запрещать, просто, обрезать канал до, например, 32кбит.

Ой, начальство в этом ни бум-бум, им надо чтоб сотрудники хоть что-то делали, а не сидели в чате и одноклассниках. Это уже усмотрение начальства. Так что я только исполнитель. Сказали выключить -> мы выключили.

В общем uspen дал самый годный совет мне, уже пробую. :)

а не сидели в чате и одноклассниках.

попробуй посидеть в одноклассниках на 32 кбитах

Ну для чатов этого вполне хватит. Вообще говоря пробовали резать канал, они начинали ныть что слишком медленно... :)

Ну не хочет если главбух чтоб бухгалтера вместо того чтоб разбираться почему в отчёте расхождения сидели в быдлоодноклассниках...

Мотивировать сотрудников нужно другими способами. Найдётся умелец в бухгалтерии, который притащит usb-модем и будет всем в своём отделе раздавать интернет, и что тогда?

Я конечно не админ, но на мой взгляд очевидным решением было бы не разрешать доступ по мак-адресам, а, наоборот, запрещать. Вряд ли у бухгалтеров меняется комп чаще раза в несколько лет, а поменять мак-адрес не всякая секретарша сможет.

Вообще говоря пробовали резать канал, они начинали ныть что слишком медленно...

А когда совсем отключено - не ноют?

Вообще - не нужно было говорить, что резали :)

То есть, разрешать по умолчанию всем, а запрещать только избранным или по запросу непосредственного начальника, если он видет, что сотрудник сидит в одноклассниках.

Тебе многие годные советы дали. sin_a особенно, просто я поднес ближе к печке.

Вопрос, как более просто через n времени вынести MAC правило из iptables файла с правилами?

ну, на коленке так:

# iptables -D FORWARD -m mac --etc..
# sed -i '/iptables -A FORWARD -m mac --etc../d' /etc/init.d/firewall
или так
# sed -i '/ff:ff:ff:ff:ff:ff/d' /etc/init.d/firewall

Да, sin_a тоже весьма годно подсказал. Городить просто radius серверы, и возиться с паролями - не охото ну никак. Если б, я продавал трафик это одно, а мне просто надо доступом порулить, да так чтоб не бегать взад да назад из-за всякой ерунды, вида: шеф отдела XXX купил Ipad3 , и это стало для всех событием, теперь надо Интернеты!

upsen, отлично, да, sed что надо, теперь мне бы вот чего надо запилить:

Грепать кеш arp и сравнивать все mac из таблицы с файлом правил iptables, если в arp есть что-то отличное от файла с правилами firewall выводить принтом этот mac. Поможете плиииз. :)

# arp -n |awk 'NR > 1 {print $3}' - вот так я начал, пока получил просто список mac, что дальше делать пока не особо представляю... В этом деле не очень силён...

Ну один начальник

Я уже написал. Пусть не раздают - будут довольны. Или раздают и тогда вбивают новый пароль в случае чего. Или пусть wifi будет доступен всем. Или пусть остаются недовольны постоянной сменой пароля (тоже вариант)

Во всех случаях крайнее звено - они.

Во всех случаях им пофиг. Есть начальник одного отдела, и ему нет никакого дела совершенно до тараканов в голове у начальника другого отдела. Если другой начальник запретил интернеты всем, то это никак не волнует начальников остальных XX отделов. А уж генеральному директору и тем более по барабану на всю эту кухню, ему надо чтоб «просто работало», чтобы он не звонил по 100 раз в отдел к нам.

И да: во всех случаях крайнее звено ИТ отдел, ибо он должен придумать так, чтоб у всех было нормально и хорошо, чтоб не надо было им звонить постоянно. :)

Во всех случаях им пофиг.

Тогда 2 (3-5-7) wifi под количество участников, которым на все насрать и хочется, чтобы все было.

За все надо платить.

arp -n |awk 'NR > 1 {print $3}' > maclist1

через 3 минуты

arp -n |awk 'NR > 1 {print $3}' > maclist2

newmac="`diff maclist{1,2}`"
if [ -n "$newmac" ]; then
 echo "$newmac" | \
  while read line; do 
   iptables -A FORWARD -m mac --mac-source "$line" -j ACCEPT; echo "FORWARD -m   mac --mac-source $line -j ACCEPT" >> rulesdb
  done
 echo -e "Mac:\n $newmac \n added"|mail -s newmac admin@example.com
fi

чтоб удалить

while read line; do iptables -D $line; done < rulesdb

вывод diff только посмотри, можешь по-другому сравнивать

и еще. лучше сравнивать не с arp кэшем, а с эталонным списком маков, так как утром включиться компьютер запрещенной бухгалтерши и он удачно выйдет в сеть.

А таблица arp по идее сама чистится ведь через некоторое время, сейчас буду покусочно тестировать работу скрипта! Но в любом случае Вам три чая! Отпишусь как и чего.

А что касаемо всего остального что сказал Господин zgen про политическое решение: это всё хорошо, но у меня отделов более 30ти, и начальники в них далеко не белые воротнички, а рабочие по металлу... Так что я вот по-этому и занимаюсь технической стороной.

Вот с выводом diff я и сам мучаюсь. Тут не совсем правильно вы сделали...

# echo $newmac # 1a2 > 00:17:31:89:47:fa

Это во-первых, а во-вторых, что будет если появится два новых мака?

И ещё: в таком скрипте им надо будет успеть позвонить в отдел за три минуты, а иначе mac1 и mac2 будут идентичны уже. По-этому я хочу сравнивать mac с rulesdb... А это уже посложнее будет.

В идеале оно должно смотреть кеш arp сравнивать его с rulesdb и строить массив, затем из этого массива делать список и выводить его в листинг! К примеру: я не буду подключать никого если обнаружу два новых мака, хотя в данный момент времени меня известили только об одном госте, я попрошу его переподключиться (предварительно почистив кеш arp и запустив снова скрипт (это я думаю не сложно сделать в виде кнопки) и это не часто конечно думаю будет). Если всё ок, я указываю кол-во дней жизни в rulesdb (тут я уже асилил в общем то at -f), и жму ентер, всё. Пользователь добавлен на n дней.

Вопрос в массиве и чтения с него, и сравнения с него.

я ж сказал, что нужно сравнивать с эталоном. Скрипт как раз и рассчитан, что в переменной $newmac будет много адресов - там построчное чтение. Сравнение - man comm

А почему бы не поднять несколько вайфаев сразу: для гостей, для планктона, для директоров.

Соответственно всех их в разные, полностью разделённые подсети. Для гостей можно какие-нибудь OTP-пароли, ну вобщем чё-нить замутить, чтобы пароль каждый раз был новый и соответственно рядовые сотрудники никак не могли воспользоваться этой сетью.

Для рядовых сотрудников всё легко: на точке делаем список разрешённых маков, остальные блокируем, по желанию включаем шифрование чтоб хоть трафик не слушали.

Для директоров всё просто: на вайфае стоит WPA2 с 10-значным буквоциферным паролем, который вводим один раз и забываем, плюс фильтрация по макам тоже не помешает.

Я так предполагаю что всё же люди сидят в разных комнатах территориально и не факт вообще что у рядовых сотрудников будет ловится вайфай для гостей.

Беда в том, что comm может сравнивать только отсортированные списки... Это надо ещё тогда мудрить с убиранием видимо точек, в адресах, как-то переводить это всё в числа, и потом сортировать чтоль? Большими костылями пахнет, не уж-то как-то более изящно не решить эту задачу в Linux? :)

Про построчное чтение виноват, затупил.