Hallo

Ja, eine Whitelist ist natürlich bequem, das ist wahr. Auch ist es durchaus Usus und auch empfohlen Firewalls erstmal ganz dicht zu machen und dann erst gezielt Ein- bzw Auslaß zu gewähren. Eine Withelist also.
Aus Sicherheitsgründen sollte eine Firewall auch so nah wie möglich eingestellt werden, d.h. am besten mit der seriellen Konsole im Serverraum. Das geht natürlich selten. Aber auch bei Remotbedienung sollten so wenig wie möglich Bediener vorhanden sein und auch gute Kryptographie beim Login (Nicht nur einfach SSH, sondern z.B. SSH mit RSA Anmeldung o.ä.).
Das Schlimmste was Du machen kannst ist aber die unbeaufsichtigte Änderung an den Einstellungen der Firewall: also in Deinem Fall über eine andere Maschine und ein Script von jedem User der ein Paßwort hat oder anderweitig Zugriff. Letzteres ist es, das einem dabei die Fußnägel kräuselt.
Das ist also vollkommen tabu, aber das macht nichts.

Wieviele Leute können sich denn an den Anschluß anhängen ohne das es lahmt? Da ich keine Ahnung habe, wie dick die Pipe ist, setze ich die Anzahl einfach mal willkürlich auf 25 fest. Warum machst Du das bei der Firewall nicht genauso und setzt 25 IPs fest? Die verteilst Du dann über den WLan-Server. Sind keine mehr da, ist's halt Essig mit einloggen (aussagekräftige Fehlermeldung nicht vergessen!)

Wir haben zur Zeit eine 4mbit Anbindung. Die Anzahl der Zugriffe sollte keine Rolle spielen. Der Wlan-Access-Point ist DHCP. Er verteilt Ip's aus einem Netz, z.b. 192.168.100.0. Diese IP's sind dann im Script gesperrt (von 192.168.100.1 bis 192.168.100.254).
Wenn sich jemand am Acces-Point anmeldet zieht er eine IP, die ja noch gesperrt ist. Klar. Es könnte ja jeder kommen und sich am Acces-Point anmelden.

Wir wollen durch die zusätzliche Abfrage eines Usernamens + Kennwort sicher stellen, dass der User "rein" darf. Dann erst soll die Ip im Script freigeschaltet werden.

Ich werde mich unter deinen Links mal schlau machen und hoffe auf fastix.

Vielen Dank!

Grüße
Tobias