Доброго времени суток!
Хочется настроить на DFL-ке что бы она выпускала в интернет только тех у кого
ip адрес соответствует MAC адресу, остальные выходить в вне не должны.
Как правильно реализовать такую схему на данном девайсе.

Задать через Interfaces - ARP соотв-е Static IP-MAC и разрешать выход в инет только этих IP.

А можно настроить аутентификацию для выхода в инет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Хотелось бы сделать так что бы при добавлении соответствия в таблицу ARP
Ip сразу мог выйти в инет, а если соответствия в таблице нет то соответственно и инета нет.
Возможно ли так зарулить? Если можно процедуру по подробней.

Вам придется добавлять IP и в ARP, и в группу доступа в Инет.

Пробуйте. Что не понятно спрашивайте. Мурзилку вам делать не буду.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

А где именно создавать эту группу? И как потом зарулить что бы инет раздавался именно этой группе?

мастер первоначальной настройки делает серию правил вида
NAT lan lannet wan all-nets <сервис>

вам во всех этих правилах надо заменить lannet на группу ваших адресов с правом доступа в инет

группу создать в Address Book. в подходящем месте

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Как я понял создаем можно в InterfaceAddresses создаем IP4 Address с диапазоном (допустим 192.168.2.1-192.168.2.100) и обзываем его допустим Inet_Allow
После этого лезим IP Rules и все тt правила которые с NAT меняем с lannet на Inet_Allow.
Как на рисунке 1.
А хочется что бы было как на рисунке 2.
когда есть одно запрещающее правило, а над ним разрешающие. источник допустим 192,168,2,41 и его мак = тому что я указал тогда выпускать на WAN порт

нет необходимости в запрещающих правилах. по умолчанию все запрещено.

удобнее не дублировать правила для разных сервисов, а объединить сервисы в группу.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да, действительно это удобно. Позже так и сделаю.
Но сейчас проблема в другом, у меня есть диапазон ип 192.168.2.1-192.168.2.100
И я хочу что бы из этого диапазона в интернет выходили только те ипы у которых ип совпадает с маком который я задал.

У вас в этой группе должны быть те и только те IP адреса, для которых установлена связка IP-MAC в ARP. В противном случае доступ в инет будут иметь адреса, которые входят в группу, но эта связка для них не сделана.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо!
С этим разобрался все работает.
Еще пара вопросов:
Когда добавляю некий ресурс в Black list выдает сообщение:

Forbidden:

Access to the location: ресурс

has been denied for the following reason:
Policy prevents this page to be accessed
Вроде как там можно поставить другое сообщение но дает выбрать только Default. (можно как то побороть)
И имеет ли эта железка возможность ограничивать трффик с определенного ип адреса и вести статистику? Если да то где рыть?

Шейпить трафик умеет. Для статистики нужна дополнительная прога стороннего производителя.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Где рыть что бы настроить шейпер?
Какую рекомендуете использовать? В идеале бесплатную. Есть лицензия на Tmeter (Но последнее время глючит безбожно как вариант тупо для статистики тоже рассматриваю)

Когда добавляю некий ресурс в Black list выдает сообщение:

Forbidden:

Access to the location: ресурс

has been denied for the following reason:
Policy prevents this page to be accessed
Вроде как там можно поставить другое сообщение но дает выбрать только Default. (можно как то побороть) вопрос тоже еще актуален.

Не поймите не правильно сроки ввода в эксплуатацию ограничены, на RTFM тупо нет времени. А до этого с D-link работать не приходилось.

Драфт русской инструкции для DFL серии.
Подсчет трафика на DFL

Нетрудно заметить две эти темы в прилепленных. Там и шейпинг и статистика (подсчет трафика)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо! В ближайшее время ознакомлюсь.
На RTFM крайне не хватает времени...