Имеем: DFL-800 v.2.12
(перепрошивать не предлогать, только как крайний вариант через сервис D-link)

задача:
сеть более чем из 50 машин, стоящих за DFL-800,
разделить на автономные сегменты средствами DFL.

т.е.

1.максимум:
доступ между подсетями должен быть ограничен по сервисам.
2.минимум
доступ между подсетями должен быть ограничен полностью.

Опробованные варианты:

Разделение правилами фаерволла:

source: all-nets
action:deny
services: all

sourceinterface: any
sourcenetwork: all-nets
destinationinterface: lan
destinationnetwork: subnet1

кстати програмным фаерволлом (керио, аутпост) всё работает.
-------------------------------------------

Вариант с VLAN'ами как я понял не подходит,
т.к. в сети 3 неуправляемых свича.

-------------------------------------------

предлогали поделить подсети по пользователям и разграничит доступ
User Authentication Rule

что, то не получилось.


-------------------------------------------

Кто имеет опыт разбиения сети методами DFL, отзовитесь.

-------------------------------------------

вариант с разными подсетями
192.168.1.10-20
192.168.2.10-20
...

не подходит.

Вы не сможете ограничить доступ компьютеров друг к другу которые находятся на одном интерфейсе, если вам так критично это, часть компьютеров можете повесить на интерфейс DMZ, и не прописывать разрешающие правила. Или менять ваши свичи на управляемые, и поднимать vlan или использовать ACL, на некоторых моделя ACL можно задавать по портам.

Вы сможете ограничить доступ между сетями, если их обменный трафик проходит между разными интерфейсами DFL (LAN, DMZ, VLAN, PPPoE, PPTP и т.п.)

Если же у вас все сети подключены с помощью неуправляемых коммутаторов к интерфейсу LAN, то вы ничего не сможете фильтровать.

с правилами и vlan ясно.

меня интересует теперь вопрос с пользователями.

"предлогали поделить подсети по пользователям и разграничить доступ по
User Authentication Rule "

может кто расскажет, на сколько это возможно.

т.е. сейчас я создал несколько подсетей

192.168.1.1-10 subnet1
192.168.1.11-20 subnet2
... ...

привязал к ним User1, User2 ...

создал правила аналогичные приведённым выше, только для в User Authentication Rule.

но ничего не произошло.

неужели роутер DFL-800 никак не заставить перехватывать весь трафик в сети без "умных" коммутаторов?

Он не может "перехватывать". Вам уже говорили, он может управлять только тем трафиком, который проходит через него, с одного интерфейса на другой.

Не мучайтесь. Возьмете DES-3828. Он один, или в связке с DFL, решит все ваши задачи по разграничению сетей, а также обеспечит возможности на вырост.
Цена вопроса 12 т.р. или меньше, если взять коммутатор попроще.

Да, но вопрос в том, что уже есть оборудование, которое было взято на замену Kerio WF.
Kerio полностью устраивал и замечательно работал, но его цена = 15000 в 2 года.
было решено взять аппаратное решение.
DFL-800 = 14000
аппаратные решения на основе cisco = 30 000

вот какая незадача.
поэтому дополнительные 12000 - это критично.

Что Керио, что любой другой программно-аппаратный комплекс не решит вашу задачу. Если трафик ходит не через него а в обход.

Вы можете еще долго мучать себя и других. А лучше максимально детально, еще бы с картинками, опишите что вы имели и что хотите получить.

Пока без картинок.

Имеем локальную сеть из 50 машин, все они выходят в интернет через DFL-800.
Существует несколько внешних ms vpn-client'ов (10 компьютеров),
которые получают адреса vpn-pool (192.168.0.200-210)
из той же внутренней подсети lannet (192.168.0.1/24).

Сейчас все машины во внутренней сети (не считая правил настроек клиентских ОС), открыты друг для друга и для впн-клиентов.

Требуется разделить внутреннюю сеть на изолированные сегменты.
Если реально разделить не полностью , а на основе правил с учётом допустимых сервисов(портов), то это вообще замечательно.
Во внутренней сети есть www-сервер со специальной программой, к которому по http:// нужно иметь доступ почти всем компьютерам.

если использовать разные подсети:

192.168.0.1
192.168.1.2
192.168.2.3

, то отваливается инет, шлюз висит на статичном адресе 192.168.0.1

Таким образом встал вопрос: как разделить сеть на сегменты в целях изоляционной безопасности средствами имеющегося оборудования (DFL-800)?

http://pagewerk.narod.ru/dfl-800net.gif

примерно так надо разделит подсети.

вообще кроме vlan в dlink-устройствах как это делается?

Тут я вижу несколько способов.

1. Если сетевые карты компьютеров понимают тэгированые пакеты, то просто поднимаете VLAN интерфейсы на DFL и все.
2. Использовать управляемые коммутаторы которые уже сами смогут изолировать вашу сеть используя ACL или VLAN.
3. Если на DFL для подключения к интернету используется wan1, вы можете сконфигурировать wan2 и DMZ как локальные интерфейсы, а доступом между wan2-dmz-lan управлять через IPRule.

Если ваша картинка правильно отражает, что будет 4 подключения к DFL-800, то идеальным вариантом для вас, без доп. затрат и снижения требований будет этот:



Либо-таки купить управляемый коммутатор 2 уровня, типа DES-3026 за 4-5 т.р. для варианта

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да, ясно. Спасибо. Предложенные варианты упираются в финансовые вложения или протяжку доп. кабеля до ДФЛ.
Однако схемка немного не так нарисована, не успел доделать, убегал уже.
Но вверху были пояснения.
Между ДФЛ и подсетями по несколько свичей может быть.
т.е. на 3-х этажах по коммутатору, а раб. группы через могут состоять из машин на разных этажах.



Вопрос: можно ли использую правила по пользователям разделить сеть?

С такой топологией нет. В вашем случае использование vlan и управляемых коммутаторов.