подскажите плз, прописал правило на запрещение на 2 всего трафика, а трафик к 192.168.0.1 разрешен. Теперь не работает интернет, т.е. NAT. ping до 192.168.0.1 проходит, а на любой белфй IP не идут(((
как решить эту проблемму, что б со второго порта все видели только 192.168.0.1 и интернет???

Покажите пожалуйста вашу схему подключения и как настроили ACL в командах.

ACL
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0 destination_ip 192.168.0.1 port 2 permit

Весь остальной трафик запрещён
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 2 deny

во второй порт воткнут кусок сети из 30 человек, им надо разрешить обращение только к серверу(192.168.0.1) и интернет соответственно. сервер висит на 1 порту

забыл.....когда я создаю правило, на разрешение например, такое
create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.0.57 destination_ip 0.0.0.0 port 2 permit
у клиента с IP 192.168.0.57 интернет работает.

помогите плз, оч. надо!!!
немного не правильно описал суть проблеммы, вот этим правилом я сам все запретил
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 2 deny

вот так собственно и надо,чтоб не было не нужного локального трафика. только надо чтоб еще и работал интернет. или с помощью ACL это сделать не получится?

Какая у Вас версия прошивки? И что это за шлюз 192.168.0.1? Какие функции он выполняет (NAT, роутер и т.д.)?

Boot PROM Version Build 0.00.008
Firmware Version Build 3.00.B57
Hardware Version 1A1

192.168.0.1 - это сервер, с билингом. Раздает инет в сеть. Если сказать точнее, это халявный канал, от которого не охото отказываться. и еще непосредственно с ним на этом порту висят 68 юзверей.

Суть проблеммы такова: нужно сделать так чтоб юзвери подключенные к порту 2 не видели юзверей подключенных к порту 1, и плюс к этому ко всему надо чтоб работал NAT, с такими правилами какие есть он не работает, т.к. запрещен весь трафик
вот этим правилом:
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 2 deny
с такими правилами все отлично работает через прокси, но не очень это удобно((( да и многие жалуются.

можно ли как-то реализовать это с помощью свича DES-3828?
моть как-то это сделать с помощью правила на запрещение портов?

короче никак не могу сообразить, прошу помощи!!!

У Вас этот сервер указан на клиентах в качестве основного шлюза?

да, совершенно верно

На магистральном порту никаких правил нет? Вообще для ускорения процесса Вы не могли бы перезвонить завтра в офис по телефону +7(495)744-00-99 доб.390.

перезвонить конечно могу, вот только хотелось бы это все в форуме обсудить, моть еще кому пригодилось бы

Так будет быстрее и эффективнее, а потом можете решение показать уже в форуме.