Sergey Vasiliev, спасибо.
Попробую разобраться.

Несовсем, у вас конфигурация будет отличатся правда не очень значительно. У вашем случае будут как и прямые правила так и поднятая авторизация, для авторизации используйте не всю подсеть а только диапазон IP которые не привязаны.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Sergey Vasiliev, мне пришел в голову другой вариант:

1. В Address Book создаю группу, например, UnallowableUsersGroup.
2. Добавляю в эту группу локальные IP адреса (диаппазон адресов), которым нужно закрыть доступ в интернет. (В результате в Address Book пришлось учесть все локальные адреса от x.x.x.2 до x.x.x.255.)
3. В Rules -> Access добавляю запись:
Name: DropUnallowableUsers(например)
Action: Drop
Interface: lan
Network: UnallowableUsersGroup
4. Активирую кофигурацию.

В результате, с включенными static DHCP и static ARP, работает так как мне нужно.

Sergey Vasiliev, подскажите, имеет ли право на существование подобная конфигурация и есть ли здесь подводные камни?

Вы от обратного пошли, это не совсем айс. Создайте группу Allowed и пропишите в нее разрешенные адреса. И сделайте NAT правила с этой группой вместо lannet.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav, а возможно вы правы.
Спасибо за подсказку.

Итак:
1. Создал группу Allowed.
2. Во всех правилах с NAT:
allow_ping-outbound,
allow_ftp-passthrough,
allow_standard,
а также собственных правилах для bandwidth control,
заменил lannet на группу Allowed.

Все работет как надо.

Вопрос по пункту 2. Нельзя ли добавить всего одно NAT правило так, чтобы оно действовало на остальные. У меня это сделать не получилось.

Для Deo может чем помогу, у меня такая привязка по mac (3 компа и спутниковый ресивер Dreambox):

1. Адресна книжка
Objects > Address Book >

Add IP address >
Name = DHCP_pool
IP Address = 192.168.1.2-192.168.1.5
OK

Add IP address >
Name = user_1_ip
IP Address = 192.168.1.2
OK

Add IP address >
Name = user_2_ip
IP Address = 192.168.1.3
OK

Add IP address >
Name = user_3_ip
IP Address = 192.168.1.4
OK

Add IP address >
Name = dreambox_ip
IP Address = 192.168.1.5
OK

Add Ethernet dddress >
Name = user_1_mac
MAC Address = xx-xx-xx-xx-xx-xx
OK

Add Ethernet dddress >
Name = user_2_mac
MAC Address = xx-xx-xx-xx-xx-xx
OK

Add Ethernet dddress >
Name = user_3_mac
MAC Address = xx-xx-xx-xx-xx-xx
OK

Add Ethernet dddress >
Name = dreambox_mac
MAC Address = xx-xx-xx-xx-xx-xx
OK

2. Cтатичные адреса в LAN
System > DHCP > DHCP Servers > Static Hosts >
Add Static Host Entry >
Host = user_1_ip
Mac = user_1_mac
OK

Add Static Host Entry >
Host = user_2_ip
Mac = user_2_mac
OK

Add Static Host Entry >
Host = user_3_ip
Mac = user_3_mac
OK

Add Static Host Entry >
Host = dreambox_ip
Mac = dreambox_mac
OK

Пинг можно удалить, он по стандарту пройдет, но FTP (и если у вас есть правила с SIP, H.323, HTTP ALG - тоже) нельзя, так как отдельное правило именно для того и сделано, чтобы срабатывал ALG.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

dmoleg, спасибо. У меня примерно также, только компов 30.


danilovav, спасибо за разъяснения.