Похоже я что-то не правильно настроил, помогите советом как правильно нужно сделать.

1. Настроил DHCP:
Прописал mac-адреса всех компов в сети,
Задал диапазоны IP-адресов с разными правами доступа к интернет-сервисам,
Прописал статические адреса для компов, с учетом прав доступа.
2. Настроил IP-правила
3. Настроил интерфейсы
3. Прописал маршруты
4. Настроил каналы и правила каналов

Проверил, все работает как и планировал. Но обнаружилась неприятная вещь, можно вручную прописать на любом компе IP с правом доступа в интернет и "хитрый" пользователь начинает пользоваться тем, что ему не положено.
Как правильно настроить авторизацию компьютера на роутере по mac-адресу, web-авторизация пользователя неприемлема.

_________________
Осваиваю DFL-800

Чтобы разрешить доступ в интернет только "нужным" клиентам, сделайте из их адресов группу (например, gLanClients) и используйте ее в NAT правилах вместо lannet.
Чтобы "защитить" клиентские адреса, надо сделать static ARP записи в Interfaces > ARP.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav
поясните пож-ста, в чем заключается такая защита?

Спасибо.

Вот это у меня так и было
а вот этого мне как раз и не хватало
Теперь все работает так как положено.

_________________
Осваиваю DFL-800

клиент с заданным IP может выйти в инет если только имеет указанный в ARP mac-адрес.

_________________
Осваиваю DFL-800

понял. спасибо

зы. а если злоумышленнику удастся подменять и МАК адрес, значит АРП не поможет? хотя это совсем другая история

Так-то - да, но нужно входить из локальной сети предприятия, зная сочетание mac-IP.

_________________
Осваиваю DFL-800

думаю, если пользователь допер поменять IP адрес, то МАК он найдет без проблем.

К счастью у нас нет таких продвинутых пользователей.

_________________
Осваиваю DFL-800

Умные пользовали, знающие как сменить МАС адрес, отсекаются управляемым коммутатором с функцией port security.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Firewall это прежде всего пограничный маршрутизатор, который обеспечивает зачищиту именно на "границе". Что касается внутренней безопастности, тот тут вам в помщь управляемые коммутаторы и правильно настроенные политике внутри сети (ну например только пользовательский доступ к ПК не позволяющий поменять MAC или IP или соответствующая настройка контролера домена)

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.