Да блин, как никакой то? Ещё раз.

На роутере фильтрацию можно включить в одном месте для ВСЕХ, включая потенциальных гостей, соседей и устройства о которых ты мог забыть.

Фильтровать на каждом устройстве требует установки расширенного фаервола на каждое устройство, включая не рутованные телефоны, мак, и прочее! А потом ещё на каждом следить. А где не установишь - будут ходить в интернет как хотят.

А хочется иметь единый пульт управления - кому можно, а кому нет.

Динамически. А там уже можно бизнес логику накрутить. Со временем правил накопить, типа телеграмму - можно, обновление антивируса - можно, телеметрия десятки - харам!

Так а как ваше приложение будет определять, кто это и куда пошел?

Ну, допустим, с телеграммом понятно. У него есть список подсетей, и этот список известен.

С обновлениями винды - тоже можно. Там тоже есть список подсетей и адресов.

Понятно что это по началу все неудобно будет.

Типа на тебя разом упадёт куча запросов. Надо будет каждый разбирать. DNS чекать там, пробивать по IP, ну вы поняли. Со временем наработается список что точно можно, что точно нельзя и тп.

Нужен будет режим типа "на устройстве Х пошёл в интернете браузить", чтобы до выключения режима с этого IP внутреннего наружу пускало на 80/443 и че-там-у-TLS.

Такие бизнес логики короче накрутить поверх.

У тлс может быть что угодно.

SDN like Cisco Meraki will help to you.

И под 80/443 тоже может быть что угодно.

Вообще, предсказываю результат, очень похожий на то, на что все матерились, когда блокировки начали вводить.

Кто
- мы знаем IP хоста в локалке, значит знаем что за девайс
- мы знаем кто на нем сейчас сидит, и значит что он примерно может делать
- можно посмотреть на устройстве

Куда
- опять же пляшем от устройства и активности на нем
- также по IP ищем что можем найти

Это понятно. Это не даёт сто процентной точности. Но это даёт контроль и возможность настройки.

Я готов дома ловить false-положительные настройки.

Ну блин, как Agnitum Outpost, только на сервере!

Спасибо, почитаю!

Ну я помню этот аутпост

Мне тоже идея показалась хорошей

Но эйфория длилась минут десять, а гнев начался через день.

Но, кстати, всем желающим заниматься такой ботвой рекомендую расставить детекторы активности пользователя и просто разрешать новые типы, если они произошли после действий пользователя.

Не, я годами пользовался. Потом эпоха ушла.