Ситуация следующая - Есть локальная сеть - 25 машин, доступ в инет
Нужно сделать так чтобы доступ в инет получили только некоторые из них... Сейчас стоит dl-704, настроен файер,доступ есть только у маленького диапазона, остальным же раздаются ip из диапазона, которому запрещен доступ в wan, но есть огромный "-" путем ручной настройки ip можно получить доступ в инет, а этого как раз не надо! Как поступить в данной ситуации - чтобы локальная сеть работала в обычном режиме, а доступ в инет имели не все компы? (я тут подумал, что наверное лучше сделать фильтрацию по MAC - чтобы имели доступ только mac' и из списка) Неужели это можно решить лишь покупкой DFL ?
Или все таки есть варианты?

25 машин, small office - вам только DFL-210 и нужен. При таком (достаточно не малом) объеме компов игрушки DI/DIR просто будут создавать проблемы.

А ваша задача кстати решается настройкой МАС-фильтрации. И, хотя, МАС адрес меняется так же легко, как и IP адрес, без соответственных прав ваши юзеры этого не сдлеают. Да и вообще - административные меры воздействия никто не отменял.

А уж если юзеры все мегаумные, то берите DFL и вместе с МАС-фильтрацией (там делается привязка МАС-IP, и при изменении одного из параметров у компа просто не будет доступа) сделайте авторизацию.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

+1

Если речь идет об организации, я не понимаю супер-мега-экстра экономии, когда для офиса покупают устройство за 1-2 тысячи вместо 7-8 тысяч (за DFL-210). А ведь это всего половина стоимости обычного ПК, которых в офисе от нескольких штук до нескольких десятков.

Поскольку для юр. лиц бесперебойность работы и гибкость настройки значительно важнее, чем для физ. лиц, рекомендую всегда брать в таких случаях серию DFL. Заметьте при этом, что рекомендуется не дорогая Cisco, а бюджетный аппарат корпоративного класса, который имеет заслуженную хорошую репутацию у конечных пользователей.

Вы не просто переплачиваете в 3-8 раз за воздух и название "корпоративный". Вы получаете надежность, производительность и богатую функциональность, благодаря которой сможете делать массу вещей, недоступных в бюджетных рутерах домашнего применения. Авторизацию пользователей, гибкое управление полосой пропускания, поддержку полноценной DMZ либо доп. WAN порты, VLAN (помимо прочего, позволяющую расширять кол-во независимых интерфесов устройства), маршрутизацию на основе политик и т.д.

Другой вопрос, что это надо суметь освоить.

P.S. Вот никогда бы не подумал, что стану добровольным PR-менеджером D-Link.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Купил сие творение науки и техники! НО! Не могу разобраться с настройкой привязки IP к MAC!
С горем пополам настроил таки инет и DHCP, а вот искомую конфигурация никак не могу изобразить....

Привязку IP к MAC можно сделать через Static DHCP.

Аутентификацию я не настраивал. Почитайте главу в руководстве 8.2. Authentication Setup.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Дык вот аутентификация и нужна, static DHCP уже настроил! Теперь задача в следующем - нужно разрешить доступ в инет только определенным IP и при изменении IP на локальной машине, чтобы у нее пропадал доступ к инету!

Смотрите в сторону ARP. Выставьте в настройках дропать пакеты, когда IP-MAC не соответствует и добавьте нужные привязки.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Привожу скрин [
Добавил еще (надеюсь правильно заделал)))

И еще вопрос сходу - как сделать так, чтобы при подключении к сети машины с маком отсутствующим в списке был полный запрет на пользование сетью?[/img]

Если имеется ввиду LAN, то запретить работу с ней невозможно. Этот трафик неподконтролен DFL-ю.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

То есть если подрубить комп который не в списке (левый) то он получит по DHCP адрес и сможет пользоваться сетью???
Ну ладно это второй вопрос...

А как быть с соответствием ip-mac? Те скрины что я выложил говорят о правильной настройке?

Да, с ARP все правильно.

А ограничить физический несанкционированный доступ к вашей сети вы можете только при авторизации на свитчах. Дорогие и умные модели могут даже radius делать.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Если известны эти MAC-адреса - то можно создать второй DHCP-сервер на DFL'е и сделать привязку на другую подсеть или VLAN.
Если неизвестны - тогда как уже говорилось, установка умного коммутатора с контролем на портах, поддерживающего 802.1x http://xgu.ru/wiki/802.1X_RADIUS

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Ну судя по всему при моем раскладе - при ручной смене ip адреса на локальной машине пропадает доступ в инет и в сеть? при подключении компа, mac которого отсутствует в списке, он автоматически получает отказ на доступ к инету, так?

quazzi, да

MTRX, обычно таких "умников" всех не отследишь. Хорошим решением является отправление нормальных юзеров в один VLAN (нормальный), а всех остальных - в ограниченный. Но это опять, smart свитчи.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

угу.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...