Как правило, ядро проверяет возможности процесса, чтобы определить, есть ли у него требуемые возможности.Вы найдете эту информацию, задокументированную на странице руководства соответствующего системного вызова, где будет отмечено, что «процессу требуется возможность CAP _XYZ» для выполнения операции. Например, глядя на справочную страницу kill(2)
, мы видим:
For a process to have permission to send a signal, it must either
be privileged (under Linux: have the CAP_KILL capability in the
user namespace of the target process), or the real or effective
user ID of the sending process must equal the real or saved set-
user-ID of the target process.
Точно так же на страницеcreate_module(2)
мы видим:
DESCRIPTION
create_module() attempts to create a loadable module entry and
reserve the kernel memory that will be needed to hold the module.
This system call requires privilege.
...
ERRORS
...
EPERM The caller was not privileged (did not have the
CAP_SYS_MODULE capability).
Ядро может выполнять эти проверки, потому что возможности определяются -атрибутами процесса, которые ядро записывает в свои внутренние структуры данных.
В некоторых реализациях беспроводных точек доступа, как домашних, так и корпоративных, вы можете выбрать, разрешать ли клиентам общаться друг с другом.
Если эта мера безопасности включена, клиенты смогут общаться только с точкой доступа/внешними сетями, но не с другими клиентами в той же сети/AP/контроллере.
На мой взгляд, например, OpenWRT, Cisco и Meru позволяют настраивать, происходит это (или нет ). Это довольно распространенная технология для нескольких брендов.
Например, со страницы OpenWRT
LEDE/OpenWRT — Настройка изоляции клиента
Client Isolation is a security feature that prevents wireless clients on that network from interacting with each other, which can be enabled on networks in AP mode.
На языке Enterprise Cisco это называется «Блокировка одноранговых узлов с -по -»
Из Руководство по настройке контроллера беспроводной локальной сети Cisco
Peer-to-peer blocking is applied to individual WLANs, and each client inherits the peer-to-peer blocking setting of the WLAN to which it is associated. Peer-to-Peer enables you to have more control over how traffic is directed. For example, you can choose to have traffic bridged locally within the controller, dropped by the controller, or forwarded to the upstream VLAN.
Peer-to-peer blocking is supported for clients that are associated with the local switching WLAN.
Ключевым моментом здесь является то, что «вы можете выбрать локальный мост для трафика». Сам протокол шифрования может означать, что каждое соединение между точкой доступа/контроллером и клиентом является частным, но тогда от контроллера/AP зависит, разрешает ли он (или нет )трафик, проходящий между клиентами свободно.
Кроме того, я мог найти некоторые расплывчатые ссылки на семейство моделей Alcatel, которые упоминает OP/@Tim, называя это «запрещение межпользовательского трафика»
ПС. Я включил изоляцию клиента в своем OpenWRT дома. Еще на моей прежней работе мы также включили эту «функцию» в кампусной сети Wi-Fi Meru, также известной как точки доступа Fortinet, которые обслуживали около 3 тысяч человек в день.