Есть локалка с выходом в интернет и прямой адресацией. Нужно “спрятать” её за DFL-1600. Проблема в том, что локалка не маленькая и перевести одномоментно на всех клиентах IP-адреса с глобальных на локальные проблематично. Догадываюсь, что на момент перехода нужно такое правило, чтобы клиенты локальной сети с реальными IP видели интернет-ресурсы прозрачно сквозь DFL, также как и те, кто уже переведён на локальные вдреса обрабатываемые NAT'ом.

1. Что это должно быть за правило?


Клиенты в локальной сети получают адреса динамически, для удобства заполнил таблицу статических хостов по MAC-адресам, однако хотелось бы исключить возможность получения динамического IP “чужими” компьютерами, буде такие появятся.

2. Где можно задать список “своих” MAC'ов и разрешить только им получать IP?


Некоторым компьютерам в локалке нужно решительно запретить выход в интернет, кроме а) отдельных IP-адресов и б) некоторых web-узлов по имени.

3. Куда смотреть в описании?

1. Вы используете transparent mode или просто отделили подсеть на LAN?

2. В Interfaces > ARP добавляйте static-записи

3. Разрешенные IP адреса задаются группой вместо all-nets в destination. Ограничить НТТР по серверам можно средствами HTTP ALG

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav, спасибо за ответ!

Transparent мы не используем, поскольку не очень поняли с напарником, как это работает. На самом деле день “D” – переезда за “баррикады” – у нас ещё не наступил, мы к нему лишь готовимся. Пара тестовых машин, подключеных к одному из lan-портов изображает будущую локалку.

1. Раз transparent mode не используете, то вам надо будет из провайдерского пула выделить подсеть для клиентов, указать ее в lannet и один адрес из нее для lan_ip. Соответственно, для "белого" lannet достаточно сделать Allow правила.
Далее, сделайте дополнительный адрес и подсеть на LAN с "серыми" адресами (смотрите мои посты - неоднократно писал или FAQ) и для них сделайте NAT.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

“Начальник поезда понимает, что он чего-то не понимает, но чего оно не понимает, он пока не понимает…” ©

danilovav у меня есть диапазон статических адресов выданных провайдером. Он внесены в “записную книжку” как wan2net со своим wan2gw, и 2-му физическому порту назначен wan2ip из этого диапазона. На “первом локальном” порту у меня дефолтная сеть 192.168.10/24 (lan1net). Добавлены два правила для работы DNS-relay. Дефолтные NAT-правила работают отлично, при назначении тестовой машине IP-адреса из этого локального диапазона с указанием lan1ip в качестве шлюза и DNS-сервера выход в интернет работает “на ура”.

Реализуя идею по вашему совету занёс в “записную книжку” две записи IP4-адресов: диапазон sub_lannet (являющийся подмножеством wan2net, в виде xxx.xxx.xxx.abc-xxx.xxx.xxx.cde) и sub_lanip из этого диапазона.

В «Interfaces» – «ARP» добавляю запись вида:
Моде: Publish (то, что по умолчанию)
Interface: lan1
IP adress: sub_lanip

В «IP Rules» добавляю правило Allow_sub_lan:


Применяю… и тестовая машина со статическим адресом из диапазона sub_lannet интернета не видит ни под каким соусом, какой бы Gate я не указывал, что sub_lanip, что wan2gw (а именно этот меня и интересует больше всего, поскольку сейчас именно он прописан на тех машинах, которые нужно будет постепенно перевести в lan1net; создать правило подобное DNS-relay? – А как именно?)

Может быть я где-то ошибаюсь? Или в таблице роутинга нужно ещё что-то прописать дополнительно?