Доброго времени суток.

В описании к устройству присутствует возможность привязки ip к MAC адресу. Поясните пожалуйста механизм работы:
1 . В ARP-table устройства можно указать соотвествие MAC-адреса машины в сети и ее IP-адреса, и при несовпадении одного с другим трафик на эту машину не будет возвращаться ?
2. Если первое верно, то будет ли работать этот механизм когда устройство работает в Прозрачном режиме ?

Configuration: Version 33
Firmware Version: 2.03.00
Jul 4 2005

Добавляtv в ARP-table - >
# Mode Interface IP MACAddress Comments
0 Static dmz 192.168.2.3 ff-ff-ff-ff-ff-ff

Присваиваем машине в сети с МАКом ff-ff-ff-ff-ff-ff , любой IP из диапазона 192.168.2.0/24 трафик ходит возвращается этой машине.

1) Да, при создании связки MAC-IP. Экран будет проверять и заголовки ETHERNET кадра на соотвествии с базой.
2) Т.к. правила равнозначны для всех, то соотвественно и в транспарент моде привязка тоже будет работать.

тогда почему не работает , описаным выше способом? может требуются еще дополнительные монипуляции ? повторюсь задача, чтобы машина у которой в сети поменялся МАК или ИП адрес, не могла получать трафик от
DFL-800. ( в дополнительных настройках поковырялся, есть ARP Sender IP: Validate = The IP Source address in ARP packets - вроде оно ?)

А как Вы это организовали? Одновременное использование транспарента и обычного роутинга невозможно.
Для выставления отдельной машины унжно использовать ProxyARP.

есть сеть 192.168.100.0/24, гейт 192.168.100.1
подключаем DFL-800
wan1 - 192.168.100.2
defgw - 192.168.100.1

Как написано в описании, включил трансперент режим для DMZ-интерфейса и инт. WAN1. Подключаю машину к DMZ порту уст-ва и назначаю ей ручками адрес 192.168.100.3 - гейт соотвественно 192.168.100.1.
В ARP-table прописываем statik -> МАК- сетевой карты машины и ее текущий IP адрес 192.168.100.3 . Далее правилами разрешаем прохождение любого трафика из DMZ <-> WAN1.
Проверям, с машины все прикрасно работает т.е. трафик уходит и возвращается , из вне она тоже пингуется по этому адресу, все шиколадно машина не замечает присутсвия устройства, можно правилами запретить определенный трафик и т.д.
Далее меняем на машине IP- адрес на 192.168.100.4
Проверяем , трафик все так же прекрасно ходит и возвращается , ничего не поменялось ...( . Вопрос - почему ? Ведь если просматриваются заголовки на предмет совпадения МАК-адреса и IP, то такой тарфик дожен Дропаться с соотвествующей записью в ЛОГ ???
P.S. Пробавались различные варианты и в трансперент режиме и нет , и с LAN интрефейсом и DMZ - результат одинаков....

Нужно создавать правило с привязкой по IP. Т.е. правило не для всей сети DMZ, а правило для машины(host)
Во всяком случае я так реализовывал схему. Если будет вся сеть, то правило не будет срабатывать, т.к. не смотрится TCP заголовок.
PS: Обновите прошивку до 2.05

вкраце - неполучилось. Сбросили девайс к дефолтным настройкам, удалили все правила , добавили трансперент на интрефейс LAN и WAN1, в ARP-table - связку, добавили правила что именно с этого и этого адреса можно все, подцепили машину к лан , выдали адрес соотвествующий правилу в ARP-table - все работает, меняем адрес, блокировка не срабатывает, т.е. сравнение на предмет совпадения ИП и МАК не происходит (такое впечатление)...
З.Ы. девайс брали на тестирование, поэтому прошивку не трогаем... , кстати вопрос в догонку, правильно ли , что при проходе цепочки правил
пакет выходит из цепочки при первом "подходящем" правиле, и далее уже не проверяется...

Прошивку нужно влить. На тестирование это не повлияет. Если не заработает с прошивкой 2.05, шлите конфиг в почту.

прошивку обновили, результат 0. Оправил, письмо с конфигом.

Столкнулся с такой-же проблемой. Апгрейд прошивки до версии 2.05 - не помог!
Что делать ?
p.s. и почему я уже в 3-ий раз сталкиваюсь с такой ситуацией, когда у вас на сайте заявлены определённые функции у железки, а в реали - ИХ НЕТ ?!

_________________
http://www.xfiles.ru - Истина рядом!

Где Вы прочитали что есть привязка?

Максим , все очень просто , я потом разобрался...
Механизм работает так-
Те IP адреса которые забиндены за определенными МАКами, никому уже не уйдут , т.е. трафик будет блокироваться и в логах появиться соотвествующая надпись . Никакие фильтры тут не причем.
Если вы привязали к МАКу IP адрес, и потом поменяли IP адрес у этого МАКа на любой свободный (т.е. не привязанный к другому МАКу) , то трафик ходить будет без проблем.
У меня все работает.
Надеюсь я Вас не запутал )), С наступающим всех НГ.

Поспешил, и не совсем корректно выразился. Почитал форум и излагаю суть в правильной терминологии:
Отсутствует StaticDHCP (конечно, он не заявлен, но вроде в более младших моделях я его встречал без заявления)
Попытка задать DHCP сервер для каждого IP адреса, что предлагал Станислав Козлов(viewtopic.php?t=32422&highlight=DFL-800) - не прокатило. DHCP адреса выдаются по правилу - "какой свободен с верху".

_________________
http://www.xfiles.ru - Истина рядом!