Это - то, что я сделал:
Оборотная сторона этого - то, что пользовательские www-данные выполняют все документы на получение, таким образом, пользователь может добраться, другие пользовательские данные с помощью php/ruby/perl/whatever выполняются на веб-сервере.
Следующий шаг использовал бы что-то как mod_suphp или mod_suexec для выполнения пользовательских документов на получение с privledges того пользователя.
Боюсь, что мой вопрос и комментарий Стемена, приведенный выше, в значительной степени резюмируют это, но я подумал, что все равно объясню это: VLAN - это не то же самое, что подсети . Прежде чем какое-либо новое устройство получит IP-адрес, ни оно, ни сеть, ни DHCP-сервер не знают, в какой подсети, по вашему плану, оно должно закончиться, поэтому устройство просто выполняет универсальную широковещательную рассылку DHCP и удовлетворяется Диапазон «по умолчанию» DHCP-сервера, который выглядит как 10,253 / 16.
У вас есть два варианта:
Ни один из этих вариантов не требует обслуживания, но я считаю, что (1) требует больших усилий заранее, а (2) требует значительных усилий. продолжающихся усилий, по мере того, как новые устройства приходят и уходят из вашей сети.
Edit : HorusKol, я понимаю вашу точку зрения в комментарии ниже: но обратите внимание, что диапазон VPN сейчас является значением по умолчанию, так что вы все равно можете выбрать вариант (2 ) до тех пор, пока вы можете перечислить все хосты на рабочем столе и в беспроводных подсетях. Всем остальным устройствам можно оставить свои адреса из пула VPN по умолчанию.