Есть DFL-210, есть 1 компьютер подключеный непосредственно к фаерволу и много сотрудников подключеннх к фаерволу через свич.

Как отделить этого сотрудника от всех остальных, чтобы невидел ни сети предприяти, ни пинговал, вобщем ничего кроме интрнета, да ещё ограниченная скорость на 32kbit/s.

Пробовал создать 2 правилa
Action: Drop
Service: all_services
source interface: lan
source network: lan_net
dest interface: lan
dest network: blocked_user

и в обратную сторону

Action: Drop
Service: all_services
source interface: lan
source network: blocked_user
dest interface: lan
dest network: lan_net

где
lan_net -это вся сеть
blocked_user - как раз этот юзер
но ничего не помогло. Есть способ отделить физические порты друг от друга или нет?

При помощи VLAN.

Самый надежный способ - воткнуть этого сотрудника в отдельную сеть на порт DMZ.

Есть другие способы: вывести его в отдельную сеть на порту LAN. Что менее надежно т.к. возможно ручное изменение адреса на этом компе.

Либо через управляемый свитч сделать доп порт - тогда получим решение аналогичное выводу на порт DMZ.

P.S. Лочить на 32 кбит/с по нынешним временам слишком жестко.

Физические порты на LAN интерфейсе нельзя изолировать. Это неуправляемый 4-портовый коммутатор.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Боюсь что в скорости этот DMZ мне понадобиться для сервера


это как раз таки через Vlan ?


На счёт этого думать надо , т.к. всё равно в планах было покупать управляемый свич, но думаю этот способ не получиться т.к. фирма чуток решила сэкономить на провадере, суть в том что физически фаервол и этот сотрудник находиться далеко от всей сети, ещё проще говоря: сеть по радиоканалу подкючена к дому где живёт наш сотрудник, у которого есть выход в интернет.


Ну а что делать если человеку нужно только новости читать и всё.

Кстати по поводу Pipes, как посмотреть в реальном или не в реальном времени какой траффик проходит по ним, слышал счто только через SSH, кстати есть у кого руководство по командам SSH для него, попробовал стандартные линуксовые не подходят.


У меня дома дешовый ADSL модем стоит на нём есть такие настройки

Disable traffic between LAN group 1 and LAN group 2
Disable traffic between LAN group 2 and LAN group 3
Disable traffic between LAN group 3 and LAN group 1
Disable traffic between LAN group 4 and LAN group 3
Disable traffic between LAN group 4 and LAN group 2
Disable traffic between LAN group 4 and LAN group 1

не знаю каим он методом отделяет траффик.

Через VLAN, если точка доступа или сет карта сотрудника понимают тегированный VLAN.

Если не понимают, то просто сосуществование двух разных подсетей в одном физическом сегменте.

Дешевый и простой управляемый свитч на 5 портов для VLAN - DIR-100 в режиме коммутатора. Всего 1000 руб.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Управляемый свитч предпочтительнее т.к. VID тоже можно поменять в параметрах.

Однако учтите, что "сетевого окружения" у этого человека не будет - только по IP адресам в основную сеть (если вы это разрешите, конечно).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

решил пока попробовать через DMZ, как этот порт понадобиться для сервера куплю DIR-100 и переделаю.

Возник вопрос как этот DMZ настроить чтоб пользователь выходил в инет? пробовал в интрфейсе DMZ указать в default_gateway wan_gw, савтоматическим созданием маршрута, не помогло.

Надо сделать правила, аналогичные lan_to_wan, только из dmz/dmz_net

Альтернативно - сделайте группу интерфейсов lans (lan + dmz) и группу адресов lans_nets (lannet + dmznet) и переделайте в правилах lan_to_wan source на lans/lans_nets

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Пробовал и отдельно и вместе, не идёт

Покажите правила IP, таблицу маршрутизации main, параметры интерфейса dmz скриншотами.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вот скриншоты того что вы просили.


сменил самое нижнее правило с ALLOW на NAT, всё заработало.

Не могу только понять почему раньше не работало? скорее всего в правилах проблемма сменил везде на группы адресов и на группы сетей и внизу оставил правило ALLOW тоже заработало, хотя по идее как показано на скриншоте должно было сработать последнне правило во всяком случае.
Что лучьше натить или просто оставлять открытым ?

В вашем случае с серой адресацией - только NAT.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Мне интересно знать: У меня между ISP и Фаерволом стоит ADSL модем с адресом 192.168.10.1, как я понял он то как раз и натит, по идее мне же можно не создавать правила NAT на фаерволе а просто разрешать ALLOW, т.е. чтобы у меня не было 2 NAT'а или ничего в этом плохого нет?

Так можно избежать двойной NAT. Но схема получается нетиповая и какая-то кривоватая.

Наилучший вариант топологии, который позволяет избежать двойного NAT - модем настроить в режиме моста, а PPPoE соединение поднимать на DFL.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Понятно! ну а в таком варианте что вы предлагаете какие плюсы и какие минусы?
Например: если один нат уберу на скорость пинга как-то это повлияет или ещё на что?

Если нет то смысла не вижу этим заморачиваться!