Имеем свитч.
На порту 1 интернет от провайдера.
На порту 2 ftp File server
На порту 3 Samba File server

Сеть одноранговая единое адресное пространство для всех.
Есть два типа клиентов одним можна всё (тоесть могут передавать получать данные через порты 1,2,3,).
А другие могут передавать получать данные через порт 1.
Тоесть одним только интернет а другим все внутренние сервисы включая интернет.
Писать CLI правила блокируя каждый мак как то туговато и наверно нехватит правил, сделать один vlan это типа группа, и туда вносить мак адреса тоже как то не понятно.

Как это организовать, возможно с помощью Vlan но тут мне тяжело самому, непонимаю как.

а клиенты на каких портах?

У Вас сетевые карты серверов поддерживают 802.1q VLAN?

Либо ставить ещё один коммутатор под вторую группу клиентов и мутить VLAN. Либо муть VLAN на одном коммутаторе но тогда как уже заметили нужны сетевые карты с поддержкой VLAN.

Либо Сегментация трафика но штука очень двоякая.

Либо изобретать правила под ACL.

ЛИчно я в похожей ситуации заблокировал доступ не доверенной группе прям на сервере, при помощи файрвола. И до кучи немножко обогатил ACL.

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

Клиенты на разных портах, на тех же портах и магистрали с домами.
Думаю остается только acl но это ж какая куча работы чтобы постоянно писать правила кому куда можна кому нельзя, да и много правил то не поместится тем более езернет по маку.

Просто фишка в чём, что эти две группы пользователей это разные пакеты сервисов, одним нужны эти сервисы другим только интернет нужен, а в следующем месяце всё меняется допустим наоборот.
Соответственно и оплата у всех разная.

Если собрать промежуточный фришный файрвол и настроить в режиме моста с двумя хорошими сетевухами тогда в rc.firewall можна будет каляать что тоже оч напряжно.

Или тоже самое только с какимто простым биллингом для управления доступом кому куда можна, мы инет как бы не считаем и не держим билинг на него, просто пускаем людей к инету нашего прова.

Думаю для такой простой задачи контроля юзеров можна применить какойто бесплатный биллинг с удобным граф управлением.

Ну тогда вам сам бог велел в VLAN копать. И закупить сетевые карты с поддержкой VLAN.

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

Спасибо за просвещение, 500 сетевух закупить для клиентов эт будет круууто !
Значит ставлю биллинг.

ВЫ невнимательно читаете! Сетевые карты с VLAN нужны только для серверов!

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

наилучший способ вижу только в ACL ( но тут есть ограничение кол-во правил ) .
Как фильтровать по правилам ту много описанно ( смотретьв сторону филтрования maс адресов ).
Я тут даже скрипты управления выкладывал , поэтму настряпать мини управленческий биллинг и привязать к скриптам можно , а они уже разберутся кого куда пускать.

Если я верно понял то у вас все клиенты должны видеть провайдера интернета , и только избраным локалка
тогда создавайте правила в таком виде
1. разрешаем прохождение пакетов до сети провайдера через первый порт для всех.
2. разрешаем прохождение пакетов с адресом направления КЛИЕНТ на потрах где сервера
3. блокируем все остальное .

Умно, спасибо, займусь позже реализацией тестовой.