Провайдер предоставляет два логина доступа в интернет - гостевой и платный. Имеется локальная сеть и два моих компа. Сейчас гостевое соединение поднимает модем режиме роутера.

Задача: полный обмен локальным трафиком между локальной сетью и моими компами, доступ в интернет платно и по гостю с моих компов (или хотя бы платно с одного, по гостю с обоих). Но полный запрет на доступ в интернет платно и по гостю из локальной сети.

Предполагаю: подключить локальную сеть в один порт модема, мои компы в другие порты и ограничить силами модема если возможно (Port Mapping?). Приведённый на сайте способ с Outgoing IP Filtering небезопасен, т.к. IP легко подделать.
Кто что думает?

После обновления прошивки до версии 1.20 плявился такой пункт. Как я понял это соответствие IP и MAC. Как этим можно воспользоваться для моей задачи?

И что даёт рисунок?

В принципе, на вашем роутере это решается только добвлением в iptables, причём динамически с очисткой таблицы... думайте...

Можно ли примерно намекнуть алгоритм? А то я про ipfilters слышу первый раз, сейчас учебник ищу.

Нашёл. Достаточно сложно, непонятен синтаксис и куда пихать написанную программу. Если не затруднит пример где 192.168.1.2 и 192.168.1.3 ходят через модем 192.168.1.1 в интернет, а все остальные (192.168.0.ххх, 192.168.13.ххх) - нет.

В принципе, если в вашем случае небезопасен IP filtering, то резервирование IP-MAC мал чем поможет, ибо также подделывается. Хотя вы при этом его легко обнаруживаете.
У вас два варианта:
- Отделить локальную сеть от сети модема и инета. ДЛя этого, естественно, вам понадобится ставить вторые сетевые карты в ваши компы и отдельный свич для локалки. В принципе, недорого, и полностью решает вашу проблему,
- Отделить вашу сеть для инета от сети локалки. Отключить DHCP на модеме. Сменить ваши адреса на другую подсеть (напр., модем - 172.16.1.1/24, ваши компы - .2 и .3. Также вы добавляете на ваших сетевых интерфейсах и адреса для локалки, которые были - 192.168.1.2 и .3. Все же делаете резервирование IP-MAC и IP Filtering. И никому не сообщаете адресацию вашей сети для инета.

Спасибо, пока решил сопоставлением IP-MAC и IP Filtering. Сеть небольшая и вряд ли найдутся желающие и могущие подделывать MAC. Вообще приобретать дополнительный свич не надо - локальная сеть подключена через него. Я думал что можно не пускать в интернет конкретный физический порт на модеме (например, LAN4) и решить надёжно аппаратно.
А что дадут дополнительные сетевые карты? Virtual Ports?

Мне кажецца в Port Mapping можно попробовать определить ЛАН-порты в разные группы и к каждой группе свой ВАН... но точно не уверен, (сам не пробовал)

Anri_K, я в этом направлении и ковырял, однако не вышло. Если кто-нибудь опишет подробно схему буду очень благодарен.

Нет, просто вы разграничите для каждого из своих компов локалку и модем (инет).
Свич вы от модема отключите. С каждого компа - один кабель будет в свич, второй - в модем. Соответственно, разная адресация в подсетях (например, на модем и интерфейсы, включенные в модем - 192.168.2.0/24). И всё, никакого доступа из локалки к модему не может быть, пока в любом из ваших компов не будет явной маршрутизации...

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

Я не сразу понял вашу задачу ))).

а какой тада смысл вообще модем с локалкой обьединять (я так понял вы на один свитч хотели всё подключить)

локалка остаётся на своём месте, берёте ещё по одной сетевой карте, их в модем и делаете там отдельную лок.сеть. (модем настраиваете роутером).
можно одну из ваших машин сделать шлюзом (здесь должно быть 3 сетевых), вторую машину мостом соединить с первым. (модем настраиваете тоже мостом)

можно обойтись без доп сетевых карт : ставите в настройках тсп 2 типа адресации (например 192.168.1.(и ваш лок адресс) и 10.10.1.2, шлюз и днс 10.10.1.1 (или 192.168.1.1 если будете исп инет лок сети))
модем настраиваете роутером и ставите запрет в IP фильтрации на всех 10.10.1.4/254 (и никому об этом не говорите ) можно адресацию начать с конца (модем на 10.10.1.254))
в данном случае вы будете видеть машины всей локалки и модем, инет будете получать с того что будет шлюзом

а в принципе вариантов множество

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

Схема вот такая:

Смысл в том что компы 1 и 2 мои, стоят в одной комнате вместе с модемом, у них общий провод до свича, находящегося далеко. Но я уже настроил через соответствие IP-MAC и Outgoing IP Filtering.

Теперь столкнулся с другой проблемой - при высокой нагрузке на модем он виснет или кратковременно подвисает. Тут на форуме пишут что нужно отключить NAT и Firewall в модеме. Это не сделает доступным в локальной сети соединение, поднятое модемом и запрещённое правилами IP-MAC и Outgoing IP Filtering?

мне кажецца, что IP-MAC работают тока при включённом ДХСП и используются не для контроля, а для сопоставления МАК с последующей выдачей этому МАКу IP, и в этом случае ваш модем будет пытаться всю сеть на себя тянуть.

мну кажецца, что в вашем случае лудше использовать мосты, или как рекомедовал AndreTM, и всё таки убрать модем со свича

отдельный свич необязательно, в первую машину локальный кабель, вторую мостом к ней, а с отдельных сетевых на модем. Только не перепутайте обжатие сетевых кабелей

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

У обоих моих компов два IP из разных подсетей - подсети модема и подсети домосетки. В домосетки все IP прописаны вручную, т.к. никогда не было сервера. Шлюз у них тоже прописан вручную, т.к. есть второй общественный модем, через который по VPN они подключаются к провайдеру. Разве мой модем будет пытаться им раздавать IP? Гыгы, детектив. =)

В общем и целом, если вы все же хотите иметь "свой" интернет только сами, чтобы никто не достучался до вашего модема - реализуйте вариант с двумя сетевыми (по одной в комп, а поскольку к вам приходит один кабель домовой сети - то еще и свич дополнительный вам нужен), либо еще две в один из компов (но тогда комп-маршрутизатор должен постоянно работать).

А оставляя модем в домсети, вы все равно не перекроете канал для других - достаточно, например, LNS'ом проверить pong'ом диапазон интранет-подсетей - найдется ваш модем, а потом дождаться, когда вы отключите один из компов - и выйти под его адресом и MAC'ом...

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

Спасибо за помощь, для моих целей вполне достаточно такого уровня безопасности, т.к. локальная сеть небольшая и вероятность подделки MAC низкая. К тому же если это и случится, полноценного интернета они не получат а только гостевые ресурсы, присосавшегося можно увидеть в веб-интерфейсе модема. В принципе тема исчерпана.