добрый день.
имею у себя железку DFL-800, выделенный инет и 20 пользовательских машинок.
возникает вопрос можно ли все организовать средствами одного DFL-800 все то что мне так необходимо.

а именно:

1, пользователи только с определенными IP должны иметь выход в инет и при этом не должны заморачиваться на какие либо окна авторизации.
так можно?, а как это организовать?

2, пользователи должны быть разбиты на 3 группы для разграничения разраешено/запрещено скачивание, ICQ и черный лист запрещенных сайтов, все эти листы и правила должны применяться к определенной группе и не влиять на другие группы. ну и конечно априори белый лист для всех 3-х групп. также очень бы хотелось чтобы черный список можно было пополнять по принципу *mail* (как следствие все адреса с содержимым данных символов сразу в бан).
так можно?, а как это организовать?

железку эту впервые сам вижу так что с ней на ВЫ и очень осторожно но охото все разок настроить и только наблюдать как она весело моргает линками.
Всем буду очень признателен за оказанную помощь в затеянном мною.

1. Можно конечно. Вопрос с тем, какую авторизацию вы хотите поставить для остальных?

2. Для каждой группы/клиента можно применить отдельный ALG, который может содержать как white, так и blacklist записи. Соответственно, общего whitelist и раздельных blacklist не получится. А вид *mail* - запросто, только надо будет писать еще и mail*. Ну и не получится если у вас списки будут с тысячами элементов.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

1, авторизация только по IP клиента, они у них статические

Если вы хотите сделать "для этих - весь интернет, а для этих блокируем одноклассников", то можно. Если понадобится организовать глобальный whitelist, то можно это будет сделать на основе IP адресов (2 раза ALG использовать нельзя)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

да именно так и хочу организовать раздачу по группам, но вот что то сам не могу понять где создать эти самые 3 группы пользователей и внести туда IP адреса клиентов согласно их принадлежности к той или иной группе

Создайте объекты-адреса, принадлежащие диапазону пула адресов L2TP сервера, присвойте их статически клиентам, объедините в группы. А дальше одно правило l2tp_server/l2tp_pool -> lan/lannet замените на несколько, где вместо l2tp_pool, lannet - будут конкретные сервера/группы серверов.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

2 danilovav

хорошо что для вас это все так понятно и наглядно, но лично мне это в корне не понятно, где какие группы создать куда внести список групп с IP клиентов..

я DFL-800 вообще впервые вижу, раньше както обходился squid-ом а вот теперь надо организовать железку.

можно пожалуйста по подробней что как и зачем..

а то для меня эти все правила ну полный лес.

1. Создаете объекты (Add > IP4 Address) в Objects > Address Book (лучше заведите отдельную папку для РРР клиентов) - статические адреса для клиентов

2. В той же папке создаете группы (Add > IP4 Group) и добавляете туда созданные объекты-статические адреса по вашим логическим разделениям. Например, gAdmins, gManagers.

3. В той же папку или отдельной (например, LocalNetwork) добавляете адреса для серверов. В идеале - столько же, сколько и групп (если вам такое надо). Например, gSrvAdmins, gSrvManagers.

4. В User Authentication > Local User Databases > (ваша БД юзеров) >
Users для каждого юзера выбираете соответственный объект с адресом - Static Client IP Address.

5. В Rules > IP4 Rules находите правило для РРР интерфейса вида Allow l2tp_server/l2tp_pool -> lan/lannet меняете на
Allow l2tp_server/gAdmins -> lan/gSrvAdmins
Allow l2tp_server/gManagers-> lan/gSrvManagers

Вот и все, теперь у вас доступ в соответствии с принадлежностью статического адреса клиента к группам.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

спасибо за разъяснения, но остановился на 3 и 5 пунктах.
в 3-ем добавить какие адреса для каких серверов?
в 5-ом у меня вообще железка с одним лишь правилом lan_to_wan1 и еще ping_fw

в 4-ом когда заводил пользователей пришлось вводить пароль, спрашивается зачем он? и что пользователям придется его вводить, хотелось бы доступ просто по IP без паролей

Гм... Прошу прощения, ответ был адресован в соседнюю тему

Вам надо

1. Завести адреса пользователей

2. Объединить их в группы

3. Изменить одно правило nat lan/lannet wan/all-nets на несколько nat lan/группа сервис

4. Настроить связки static ARP по МАС адресам клиентов и включить блокировку неизвестных адресов.

По поводу пункта 3 в этом посте - опишите подробно ваши ограничения/запреты, я подскажу

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

отличный промах постом, что заставило изрядно подумать о сущности процесса

Спасибо за помощь все оказалось не так сложно как изначально думалось, и все такие остались неясности относительно того как организовать запрет доступа не внесенных в мой список MAC адресов?

касаемо пункта 3 тоже есть вопрос.
я хочу иметь 3 группы

1 группа - может все

2 группа - имеет Белый лист сайтов, ICQ, весь интернет и даунлоад, кроме сайтов и расширений файлов скачивания внесенных в Блэк лист для группы

3 группа - имеет Белый лист сайтов, весь интернет, кроме сайтов внесенных в Блэк лист для группы и запрет на ICQ

МАС адреса делаются тоже не очень явно

1. Interfaces > ARP
Добавляйте для каждого адреса Static ARP соответствие

2. Там же, Advances settings, ставьте
ARP Sender IP = Validate
ARP Requests = Drop
Static ARP changes = Drop
Касательно того, какие именно еще параметры надо выставить, я не уверен - у меня единственная конфигурация аналогичная крутится под 2.12, обновить нельзя - работает и так
Но если что, включается в этом разделе

По поводу разрешений - тут все просто. Для каждой ограниченной группы делаете свой ALG с white листом, на основе его - свой НТТР сервис и пишете дополнительные NAT правила.

Только хочу вас предостеречь - если идете по пути ограничений, HTTPS везде запрещайте сразу, ибо через него хоть слона можно протащить, не говоря уже о сайтах и ICQ, а вы и не заметите.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

поясните про то как именно сделать эти самые Черные и Белые листы, даунлоад, ICQ

а то что то не могу понять как и что делать с ALG

касаемо https закрыть нельзя ибо с ним идет работа, следовательно можно внести нужные адреса в белый лист?

Для НТТРS, да, надо делать некое подобие "белого листа".

Какие-то службы кроме НТТР/НТТРS нужны клиентам будут? POP3, SMTP - я имею ввиду в интернет. Их надо по хостам ограничивать?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

нет. все используют в работе http/https. ftp. Skyp, а одной группе еще и ICQ разрешить