Имеется ADSL-модем (~4мбита) который стоит между интернет и лок. сетью примерно на 200-300 компьютеров. Требуется изолировать модем от локальной сети так чтобы через него шел только PPPoE трафик, остальное резать. Что можно поставить для решения данной задачи?

Подробнее пожалуйста.
Какое разделение трафика интересует? 4мбита как-то мало на 200-300 компьютеров. Нужно чтобы только избранные получали доступ?

Реально пользователей работает одновременно человек 50 максимум на данный момент. Качают не слишком много, канал не перегружен. АДСЛ модем в режиме бриджа - все броадкасты и мультикасты летят из локальной сети в интернет канал, а требуется пропускать только PPPoE потому как интернет идет через него. Собственно нужен хардварный вариант *nix'овой утилиты pppoe-relay (проброс pppoe трафика между двумя ethernet интерфейсами)
Решение кто получает интернет принимается дальше - адсл модем подключается к адсл коммутатору, тот к cisco, там pppoe сервер c радиусом.

Попутный вопрос - идеально было бы поставить вместо адсл-модема что-то такое что могло само устанавливать пппое сессии внутри локальной сети с радиус-аутентификацией по adsl линии дальше. Но проблема в том что адсл линия - не ахти какая надежная - при длительном разрыве могут потеряться stop-сессии радиуса, а пока, к сожалению все завязано на них.

Тогда посмотрите в сторону dfl-800, который умеет быть PPPOE клиентом и выполняет функции межсетевого экрана. Пользователям уже не нужно будет создавать pppoe соединения, а просто быть в локальной сети и маршрут по-умолчанию должен указывать на dfl-800, который уже будет выпускать их по NAT. Только тогда будет 1 IP через который все будут пользоватся интернетом. Можно создавать ACL или настроить аутификацию на устройстве.

Это не подходит. ПППоЕ выполняет функции не только маршрутизатора но и аккаунтинга и секьюрности.

Все таки файрвол можно какой настроить так чтобы пускал до модема только пппое-сессии, сам их не устанавливая и не обрабатывая, только пробрасывал из локальной сети до модема и далее?

Нет, pppoe_relay на наших устройствах нет.
Чем Вас не устраивает вариант использования авторизации на устройстве по pptp либо через Web?

Чем не устраивает - написал выше: ненадежный адсл-канал.
Спасибо за ответы.

Не вижу связи.
Start/Stop сессии для аккаунтига будут уже на DFL-800, и сыпаться они будут на внутренний/внешний SysLog сервер.

Сервер то как раз находится на другом конце адсл линии.

Поменял модем на 500T - там это есть, фильтрация в режиме бридж называется. Как раз то что надо было.
Еще вопрос - есть мысли все-таки поставить железо в сеть, которое устанавливает pppoe канал по adsl линии(интернет), умеет создавать pppoe-каналы устройство-пользователь лок. сети. Ведет авторизацию и учет по радиус, пользует нетфлоу, работает желательно под unix, количество сессий - от 100
схема:
........................................|<--------> пользователь1
<-----------> устройство|<--------> пользователь2
adsl,pppoe.....................|<--------> пользователь3
(внеш канал)....................pppoe каналы устройство-пользователь

С этим в вопросом обратитесь в ветку ADSL