Hi zusammen!
Hallo,
In einem Internet-Cafe sollen sich Kunden auch mit ihrem
Laptop „anstöpseln“ und sürfen können.
Damit hast Du schon ein grundlegendes Problem: untrusted roots im eigenen Netzwerk. Du solltest Dir immer bewuszt sein: wenn die Dir ans Bein pissen wollen, schaffen sie es auch.
Also bezahlen sie und bekommen einen Zugangscode, der für
einen bestimmten Zeitraum den Zugang zum Internet ermöglicht.
Wenn sie den Browser aufmachen soll unsere Startseite mit
Eingabemöglichkeit für den Zugangscode erscheinen.
Kein Problem: DHCP musz (leider[1]) sein, darueber nameserver und default gateway setzen (Konfiguration haengt vom verwendeten DHCP server ab). Beides mueszen lokale Rechner sein. Auf dem gw wird jede Verbindung erstmal weggeworfen, alle Verbindungen auf port 80 werden umgeleitet (DNAT mit netfilter/iptables) zu einem Authentifizierungsserver (irgendein selbst gebasteltes webfrontend), der das Eingegebene mit der Datenbank abgleicht. Anschlieszend wird MAC und IP# im netfilter auf dem gw eingetragen.[2] cron ueberprueft regelmaszig die DB und wirft abgelaufene Regeln wieder raus. IIRC gab es auch ein time-patch fuer iptables, mal im patch-o-matic stoebern.
Außerdem sollen weitere Daten während des Betriebs angelegt
werden können.
MySQL setzt da AFAIK keine Grenzen. Global solltest Du nur sehr bestimmte Anwendungen (ports) oeffnen: transparenter proxy per DNAT auf einen squid, DNS geht nur zu Deinem server (und der loggt (anonym!) alle Namensaufloesungen mit), Klartextprotokolle (so weit moeglich) sperren.
Wie bewerkstellige ich das am besten? Mit Proxy ? Es sollte
auf einem Linux-Rechner laufen.
So ungefaehr wuerde ich das machen. Ist zwar keine genaue Anleitung, aber ein grober Fahrplan.
HTH,
Gruss vom Frank.
===footnotes===
Gefaehrdungspotential:
[1] Jeder Deiner Nutzer kann in dem wahrscheinlich geswitchten Netz einen DHCP-server aufstellen und damit Schabernack treiben. Sowas zu finden ist moeglich, aber nicht trivial.
[2] MAC und IP# lassen sich beliebig veraendern.
