Подскажите пожалуйста,

можно ли разрешать или запрещать определенным MAC адресам выход в интернет?

помню, была в форуме статья на эту тему, но уже второй день не могу ее найти.

спасибо!

Нет.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

жесть как она есть

это все понятно, что L2 фильтрации нет. но что-то там можно было сделать, чтобы реализовать такую схему

Только запрещать определенным IP. Либо ставить свитч и им фильтровать.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

так раньше и было реализовано, но не очень нравилась схема... больно громоздкая...

может что посоветуете получше?

есть dfl. в нем на dmz висит несколько интерфейсов VLAN, в том числе и vlanX, далее в тегированный порт на свиче. в этот vlanX подключаются гости офиса по меди или wifi. вот и хочу пускать только предварительно автроризированных MAC-гостей.

А что плохого в предварительно авторизованных IP-гостях? Зачем делать контроль на втором уровне? Ведь Вы же их не прописываете у себя перед разрешением входа в сеть, верно?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

прописываю mac адрес, а
на компьютеры гостей не имею возможности и права влезать.

Ну значит, можно то же самое прописывать в свитче, добавляя гостей в конкретный VLAN. Причем необязательно делать это через веб-интерфейс управления. Можно самому сделать страничку на PHP, которая будет передавать MAC на свитч через SNMP. Но это если умеете делать.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

а можно применять ACL на свиче только для определенного vlan?

Конечно.
Кстати, а гости эти одноразовые или приходящие? Я к тому, что МАКи приходится перед сессией вбивать или однократно? Если сеансово, то, может, проще не их МАК просить, тем более что многие просто не знают, где искать и т.д. А, например, самим выдавать пару логин-пароль?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

да, гости разные! половина буржуйские, править у них ничего нельзя. есть приходящие, а есть такие, что на несколько недель...

логин-пароль не покатит, потому что в основном, после получения Сети, они прокидывают vpn в свои офисы, или имеют почту по rpc-over-https. В 90% случаев они и web брайзер то не отрывают

про ACL на L2свиче.
никак не пойму как для конкретной vlan это сделать.
раньше было

# DELETE OLD PERMIT PROFILEs
delete access_profile profile_id 20
delete access_profile profile_id 10

# CREATING
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 10
# YSH-it10-tosh-WIFI
config access_profile profile_id 10 add access_id auto_assign ethernet source_mac 00-13-ce-c0-dd-73 port 1-10 permit

# deny acess TO router MAC 00-13-46-de-b9-e5
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 20
config access_profile profile_id 20 add access_id auto_assign ethernet destination_mac 00-13-46-de-b9-e5 port 1-10 deny

config access_profile profile_id 10 add access_id auto_assign ethernet vlan wifi source_mac 00-13-ce-c0-dd-73 port 1-10 permit

Аналогично и в другом правиле.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Ну и вы намутили... Если надо только заблочить один МАС, все просто
Делаете в Interfaces > ARP запись static ARP с адресом, который клиент никогда не получит, а дальше дефолтные DFLные настройки все сделают за вас

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Во-первых, требуется не 1 МАК заблочить, а разрешить конкретный, заблочив все остальные.
Во-вторых, ARP на несуществующий адрес ничего не даст. Один и тот же МАК может быть у кучи IP-адресов.
В-третьих, клиент себе статикой пропишет адрес от балды из разрешенной подсети и будет серфить. DFL изучит его адрес динамически и спокойно пропустит сквозь все правила.

Простой пример: пришел гость с МАК адресом 11-22-33-44-55-66. О том, что у него такой адрес, знает только он. А еще он знает, что подсеть местная 192.168.1.0/24. Вопрос - что прописать на DFL, чтобы гость не получил доступ?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Проморгал тему с разрешением.

Тогда, static ARP + static DHCP для определенных МАС, адреса в группу и NAT правила только для нее.

Это, кстати, можно комбинировать с гостевым VLAN (вообще верно, такие вещи на свитчах делаются).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc