Это - не недостаток, а достоинство! Нечего всяким случайно подключившимся ("незаконно") иметь возможность шарить даже по локальным машинам!

Если к твоему домашнему роутеру имеют доступ все кому не лень, то это твои проблемы. А невозможность роутера работать как обычный свич я считаю недостатком. Хочется получить квалифицированный ответ от уважаемых представителей службы поддержки D-Link.

Вопрос остается открытым.
Почему на DI-624 и DI-624s МАС-фильрация работает по разному. На DI-624 запрещает доступ только к интерфейсу роутера и WAN, а на DI-624s вообще блокирует прохождение каких-либо пакетов. Будут ли внесены исправления в работу МАС-фильтрации на DI-624s?

попробуй вынести отдельной темой, может быть ответят....

А нужно ли вносить изменения. У этого роутера есть беспроводная точка доступа. При внесении изменений в работу MAC-фильтров к это точке доступа сможет подключиться любой желающий, не взирая на запреты. (Шифрование я тут не рассматриваю)

Не надо ничего менять! Всё правильно! Так секьюрнее.

Поверну вопрос другой стороной:
Сеть из нескольких компьютеров и ноутбука с W-Fi. Беспроводная связь с шифрованием WPA и 32-х разрядным ключом. Вопрос нелегального подключения по Wi-Fi думаю снят. Необходимо организовать доступ в интернет только для одного из компьютеров сети и для ноутбука. Все остальные компьютера сети доступ в интернет не должны иметь. При всем при этом локальная сеть должна функционировать. На DI-624 это было осуществлено при помощи МАС-фильтров и Firewall (по IP). На DI-624s при такой же организации нарушается работа локальной сети из-за отличия в работе МАС фильтрации.
Хочу узнать причину различной организации принципа МАС-фильтрации на однотипном оборудовании, а также какой принцип фильтрации будет приоритетным в дальнейших прошивках для данных роутеров и для оборудования подобного типа вообще. По моему мнению компании необходимо придерживаться единого принципа в организации работы своего оборудования, либо сделать в настройках возможность пользователю самому определять это.

Также хотелось бы услышать предложения по организации доступа в инет двух машин и запрету доступа в инет всех остальных на базе DI-624s. Организация запрета в инет только на Firewall по IP не устраивает. Советы по покупке более дорогого и продвинутого оборудования также не устраивают.


P.S. Последнее сообщение Dip не несет абсолютно никакой смысловой нагрузки и должно рассматриваться как флуд со всеми вытекающими отсюда последствиями...

Вах-Вах ... Какой умный.... :-) Так серьёзно и обоснованно сформулировал вопросы... Я аж даже не знаю, что и возразить... Убедил, убедил ... даже не буду и возражать... Я такой не дальновидный, не смог охватить проблему в целом, могу лишь заниматься мелким флудом и ничем больше... Много лет на этом форуме только этим и занимаюсь.... Всё, жизнь не удалась - пошёл "пить йад"... :-)

Если бы все сообщения на всех форумах несли хоть ту кроху смысловой нагрузки, что была у меня, то это были бы не форумы, а просто кладези знаний... Идеалист Вы наш! Но на самом деле я такой же - зануда и формалист... Так что, мы коллеги. :-) Просто сегодня настроение хорошее....

Ладно, заканчиваем флуд, а по делу: что тут ещё сказать. Да, наверное для Вас оказалось не удобным, что в обсуждаемой модели изменились "условия игры" по сравнению с предыдущими... Но это - Ваше субъективное мнение (хотя возможно для Вас и обоснованное). Я же (например) столь же субъективно склонен считать это изменение, улучшением секьюрности, т.к. рассматриваю устройство всё-таки применительно к сектору SOHO (как D-Link и позиционирует), где кол-во компьютеров не сильно превышает кол-во портов на устройстве. В таких условиях, инет как правило настраивают для всех "клиентов" одинаково, но дело даже не в этом. MAC-фильтр чаще всего и не задействуют совсем, если есть возможность задействовать "WPA и 32-х разрядным ключом"... А вот если приходится подстраиваться под всякие "кривые" КПК и ещё там всякое старьё, которое ещё рано выбросить, но "продвинутые" защиты не настроить, то тогда для своего спокойствия приходится включить ещё и MAC фильтр и тут надо чтобы свежевломившийся юзер никого не увидел.... Хотя, всё это ломается без проблем... и MAC-фильтр не спасёт, если уж кто намеренно ломает... Но всё-таки...

Короче, на всех не угодить, сколько людей, столько мнений - лучший вариант - предоставить выбор пользователю (как Вы и предлагали), и если и предлагать D-Link'у внести изменения в прошивку, то именно такого рода, а не возвращать к прежним правилам...

Зато HP LaserJet 1022 поддерживается, хотя у меня на старом роутере DI-704UP не работало

А что насчёт дырявого firewall'a? Или его необходимо как-то отдельно включать? (SPI mode enabled.)

И в догонку: флэшку Canion 512Mb в упор не видет, хотя и FAT32. А винт FAT32 во внешнем кармане увидел сразу. Как у вас - флэшки видны?

Не знаю, еще не пробовал. Но вот мой винт не видит. хотя вроде бы и фат32

А в чём конкретно проявляется "дырявость" firewall'a ? Я проверю у себя.

А по поводу флешек - мне везло больше. Всё, что я когда-либо втыкал, распозновалось: даже какой-то кривой кардридер со вставленной в него карточкой от фотоаппарата.

Дырявость в теме "DI-624S - почему сквозь firewall WAN->LAN проходит TCP?":

QUOTE
-----------
D-Link DI-624S Firmware Version: v1.10Rfix3, настройки (правила) файервола заводские:

Firewall Rules List 0/ 32 (Number / Total)
Action Name Source Dest Protocol, Port
-----------------------------------------------------------------------
Allow Default LAN, * *, * *, *
Deny Default *, * LAN, * *, *

На машине стоит Kerio, который ловит приходящий из Интернета TCP in на локальный адрес 192.168.0.x. Из WAN сети идёт скан моих портов.

Вопрос: почему firewall моего D-Link 624S пропускает этот TCP in?
Вопрос2: какие кто правила добавил? например ссылка http://www.faqs.org/faqs/firewalls-faq/[url]?
-----------
UNQUOTE

У меня Kerio показывает проходящие постоянно пакеты от всевозможных адресов на внутренний 192.168.0.3. Я в теме указал ряд портов, но список не полный.

Sekatop
Такая работа MAC-фильтров - особенности аппаратной реализации устройства. Изменено такое поведение не будет.