Usamos Linux para una configuración de enrutador y firewall y algunos de nuestros empleados hacen un punto de acceso desde OS X. ¿Hay alguna forma de bloquear este tráfico o controlarlo?
El problema es que las direcciones IP que este hotspot le da a sus clientes están ocultas en la red, por lo que no puedo bloquear estas subredes.
No creo que sea trivial utilizar iptables para esta tarea, ya que la dirección MAC de origen y la IP para las conexiones detrás del hotspot son el hotspot en sí. Pero puede usar técnicas de detección de NAT como descrito para sflow . Una forma en que funcionan estas técnicas es detectar el TTL inusual y variable de los paquetes, es decir, los paquetes que se originan en los dispositivos que se encuentran detrás del punto de acceso tienen un TTL diferente y los paquetes que se originan en el host de puntos de acceso.
Pero como este método puede tener falsos positivos, le recomiendo que solo vigile el tráfico y determine los posibles usuarios de hotspot y solo si está seguro, podría castigar a estos usuarios, ya que obviamente violan su política de uso de la red. Si los usuarios notan que puede detectar dicha violación de la política y que las infracciones serán sancionadas, es probable que se detengan e incluso intenten configurar un punto de acceso.
Creo que está cayendo en la trampa de buscar una solución técnica para un problema de gestión. Este es un caso de usuarios que eluden la seguridad. Intenta hablar con ellos; ¿Por qué querrían ese punto de acceso? ¿La red oficial de Wi-Fi tiene defectos que están intentando solucionar?
Mientras no se aborde esto, encontrarán formas de solucionar lo que estás tratando de arreglar.
¿Por qué? Porque esto no es realmente algo que puedas arreglar con un firewall. Estos solo miran las direcciones físicas y lógicas, que no tienen mucho uso aquí.
Si no sabes quién lo está haciendo, puedes probar a foxhunting con airodump-ng, o ver si tu solución de Wi-Fi admite la detección de puntos de acceso no autorizados.