Доброго времени суток. Помогите пожалуйста. У меня следующая проблема: У нас существует малая локальная сеть в которой есть модем: DSL-2500U/BRU/D F/W ver.: RU_1.00 вот схема сети:



в которой мы с компьютером по имени "Геор" скидываемся за интернет и пользуемся модемом 2-ем. Компьютер "Борик" сканирует сеть определяет IP адрес модема устанавливает следующие настройки на сетевой у себя: IP-адрес: 180.168.1.0-255(какой ему взбредет в голову); Маска: 255.255.255.0; Основной шлюз: 180.168.1.55 (IP модема) DNS1: 83.239.192.2; DNS2: 83.239.193.3 (они доступны на сайте провайдера.) И как бы незаконно пользуется интернетом, забивая нам канал своими торрентами. На притензии по данному поводу не реагирует ссылаясь на то что быть этого не может, это типо не он, физически отключить его от хаба нельзя. Как нам поступить как сделать фильтр по MAC адресу или иные меры. Модем настроен так: (и изменения настроек не оговаривается): VPI=0, VCI=35 | Mac Encapsulation Routing | Encapsulation Mode=LLC/SNAP BRIDGING | IP статика, DHCP выключил. Вижу я его что он пользуется модемом по таблице APR у модема, вот:

Народ дайте дельный совет по настройке данного девайся так чтоб модем самостоятельно отбрасывал левые маки и пускал в инет только те маки которые я пропишу. Пожалуйста не предлагайте: Поставить модем через сервер и настроить сервер так чтоб он занимался функцией фильтра, я не могу держать шумящий компьютер постоянно включенным, а хаб и модем это оптимальное решение и без шума и постоянно включены...

В данном слчае, решение требует административного вмешательства.
Как вариант применить нестандартную маску сети и какой нибудь безумный диапазон, но это до определенного времени...
ipcalc 172.16.1.1/29
Address: 172.16.1.1 10101100.00010000.00000001.00000 001
Netmask: 255.255.255.248 = 29 11111111.11111111.11111111.11111 000
Wildcard: 0.0.0.7 00000000.00000000.00000000.00000 111
=>
Network: 172.16.1.0/29 10101100.00010000.00000001.00000 000
HostMin: 172.16.1.1 10101100.00010000.00000001.00000 001
HostMax: 172.16.1.6 10101100.00010000.00000001.00000 110
Broadcast: 172.16.1.7 10101100.00010000.00000001.00000 111
Hosts/Net: 6 Class B, Private Internet

Или настроить фильтр, по умолчанию все ЗАПРЕЩЕНО кроме явно указанного. Но и здесь фильтрация по IP. Т.е. проблема не решаема в принципе.
Еще видел программу написаную одним админом, работающую на сетевом уровне, которая не выдавала (запрещала) любые другие IP адреса в сети кроме явно указанных. Принцип работы - на любые "левые" машины при регистрации в сети, выдает конфликт IP адреса. К сожалению доступа к ней не имею.
P.S. По моему в этой прошивке фильтр так гибко не настраивается...

А еще какие варианты, ?????

Ну можно было бы сделать вот так:
1) На вашем компьютере и на компьютере геора выставить ДОПОЛНИТЕЛЬНЫЕ адреса 172.16.1.1/29 и 172.16.1.2/29
2) На модем настроить на LAN интерфейсе 172.16.1.3/29.
3) Выставить основным шлюзом на ваших компьютерах 172.16.1.3.

Итог: вы видите компьютер геора и модем в сети 172.16.1.0/29 + вы видете всех в сети 192.168.1.0/24. Т.к. сеть 192.168.1.0/24 будет на месте, то нехороший человек будет думать, что вы не меняли IP адрес модема..

3) Настроить для адресов 172.16.1.4,5,6,7 фильтр для скачивания файлов с именем *torrent.

Или например вот так:
1) На вашем компьютере выставить ДОПОЛНИТЕЛЬНЫЙ адрес 172.16.1.1/30
2) На модеме настроить LAN адрес 172.16.1.2/30
3) На вашем компьютере выставить шлюз 172.16.1.2
4) На компьютере Геора выставить ДОПОЛНИТЕЛЬНЫЙ адрес 172.16.1.5/30
5) На модеме настроить ДОПОЛНИТЕЛЬНЫЙ адрес на LAN интерфейсе 172.16.1.6/30
6) На компьютере Геора выставить шлюз 172.16.1.6.

Итог: у вас одна локальная сеть в которы вы видете всех 192.168.1.0/24, вы видите модем в сети /30 - т.е. только вы и модем, Геор видит модем в сети /30 - т.е. только он и модем. Соответственно влезть в сеть Нереально - пока включены ваши компьютеры. + Т.к. сеть 192.168.1.0/24 будет на месте, то нехороший человек будет думать, что вы не меняли IP адрес модема..

+ Настроить со всех других адресов запрет на скачку *torrent.

Не-не, дополнительный сетевой адрес на модеме вроде предназначен только для управления им и не маршрутизируется на WAN.
Так что если вам нужны 3 компа (вы, Геор, сервер) с выходом в инет, то проходит только вариант с подсетью /29. С режимом работы модема Blocking, привязкой IP-MAC и фильтрацией только ваших трех адресов. Естественно, что не предохраняет от подмены IP-MAC в момент отсутствия одной из ваших машин в сети.
Радикальное решение - только организация собственной дополнительной физической сетки на нужные машины на еще одном хабе и вторых сетевых в компах.
Ну или заменить хаб на роутер с нормальной маршрутизацией. Вот на DIR-320 с альтернативной прошивой я бы такое мог заделать...

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

Что значит только для управления и не маршрутизируется ? я только что проверил на длинке и таблицу роутинга и таблицы iptables и настройку сетевых интерфейсов - всё говорит о том, что второй адрес без проблем можно использовать для маршрутизации и выхода в интернет. Поэтому второй вариант прокатит как нельзя кстати.

А вот привязки IP+MAC в данном модеме нет (через web интерфейс). Весь фильтр реализуется по тупому на базе IP src -> IP dst.

Однако данный функционал (IP+MAC) можно попытаться реализовать через telnet и iptables, если в модеме присутствует модуль для работы iptables с mac (лень было смотреть).

Что касается маршрутизации второго IP, все зависит от прошивки и h/w. Alexander V., у вас какие именно?
А вот с DHCP reservation я да, поспешил. Но если будет Blocking и те самые "тупые" фильтры на SRC IP - то и этого хватит.

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

А если сделать необходимые настройки на модеме и затем в Access Control просто отключить доступ к нему по LAN и WAN?

DSL-2500U_BRU_D ru_1.58.

В принципе да. Но я бы реализовал схему с 2мя сетями на модеме + соотвественно фильм по доступу с этих 2х адресов + блок *torrent при необходимости.

Дополнительно!!!: Кстати, пришла в голову ещё одна идея - почему бы на модеме не отключить ARP learning и не прописать статические arp на 2 компа которые должны лазить в инет. Или если это на модеме нельзя вырубить, то например прописать в таблице ARP модема, что MAC вашего нехорошего товарища имеет другой IP

п.с. Специально слазил почекал на модеме нет экстеншена iptables для матча по маку. Так что если нужен будет функционал MAC+SRC-IP, то надо ковырять сорсы для прошивки.

Надо запретить постороннему человеку ходить в интернет через модем, а не запретить управлять модемом.

Ну так в настройках фаервола модема разрешить доступ к инету только двум компам, а потом закрыть доступ к модему дабы "редиска" не мог открыть себе шару.

Он и не открывает себе шару - у него нет доступа к модему. Он просто сканит сеть, ставит адреса из этой сети и лезет в инет. Доступ к модему нет смысла закрывать.

Прочитайте ещё раз первый пост данной темы.

Я имел ввиду что если прописать доступ в инет только с IP (как на рисунке) 180.168.1.100 и 180.168.1.102. А поставить у себя один из этих адресов он не сможет, т.к. возникнет конфликт (правда если соответствующая машинка будет в сети)

name_w этот вариант уже предлагал - во втором посте. Прокатит, но до момента пока он не начнёт выставлять ваш IP как вы и сказали. Поэтому надо прятаться другими методами

Ну тогда, как вариант, что если заменить HUB на маршрутизатор типа DIR-100 или подобный? Тогда насколько я понимаю можно будет перевести модем в бридж и у него появится ф-ция фильтрации по МАС либо использовать эту функцию непосредственно в самом маршрутизаторе.
P.S. Сильно ногами не пинайте если что-то не то предлагаю, просто самому интересно - авось когда нибудь пригодится в подобной ситуации