nicht angemeldet
Hi,
Und was hat dann IPTables damit zu tun? Was hat ein normaler User in der Firewall zu fummeln?
Unsere Firewall blockt halt erstmal alle IP's des Wlans.
Ja, eine Whitelist ist natürlich bequem, das ist wahr. Auch ist es durchaus Usus und auch empfohlen Firewalls erstmal ganz dicht zu machen und dann erst gezielt Ein- bzw Auslaß zu gewähren. Eine Withelist also.
Aus Sicherheitsgründen sollte eine Firewall auch so nah wie möglich eingestellt werden, d.h. am besten mit der seriellen Konsole im Serverraum. Das geht natürlich selten. Aber auch bei Remotbedienung sollten so wenig wie möglich Bediener vorhanden sein und auch gute Kryptographie beim Login (Nicht nur einfach SSH, sondern z.B. SSH mit RSA Anmeldung o.ä.).
Das Schlimmste was Du machen kannst ist aber die unbeaufsichtigte Änderung an den Einstellungen der Firewall: also in Deinem Fall über eine andere Maschine und ein Script von jedem User der ein Paßwort hat oder anderweitig Zugriff. Letzteres ist es, das einem dabei die Fußnägel kräuselt.
Das ist also vollkommen tabu, aber das macht nichts.
Wieviele Leute können sich denn an den Anschluß anhängen ohne das es lahmt? Da ich keine Ahnung habe, wie dick die Pipe ist, setze ich die Anzahl einfach mal willkürlich auf 25 fest. Warum machst Du das bei der Firewall nicht genauso und setzt 25 IPs fest? Die verteilst Du dann über den WLan-Server. Sind keine mehr da, ist's halt Essig mit einloggen (aussagekräftige Fehlermeldung nicht vergessen!)
Wir haben uns an Open-Source-Radius-Servern für Linux schon versucht. Da findet sich auch nix tolles. Wegen nicht vorhandener Dokus und Infos haben wir das dann abgebrochen.
Ja, das kann ich gut verstehen, das ist verdammt nicht einfach.
Kann man das mit den u.g. Links realisieren? Ich steh halt etwas auf dem Schlauch. Gibts ne sinnvollere Lösung?
Ob meine die sinnvollste, weiß ich nicht, ich habe da keine Erfahrung (betreue nur Firmennetze, da ist WLan nicht sicher einsetzbar bzw gibt mehr Kopfschmerzen als Vorteile), aber einer der Links ist das Clienthowto einer Uni. Davon habe ich so einige gefunden, deshalb würde ich vorschlagen, einfach mal da anzufragen. Schließlich sind es auch Deine Steuergelder, die das finanzieren! ;-)
Aber um Deine erste Frage zu beantworten: ich würde mit diesen beiden Links
und Google einen WLan Server einrichten können, ja. Aber ich bin nicht Du und es gibt viele Gründe damit nicht zurecht zu kommen.
Aber ich hoffe ja immer noch, das sich jemand aus dem Forum erbarmt, der sich damit auskennt.
Also: der Anbieter eines Kursus bezüglich WLan residiert auf fastix.org, hier im Forum gibt es jemanden mit dem Nickname fastix, ob die beiden evt zusammengehören?
so short
Christoph Zurnieden