Доброго времени суток, поиск не помог, попрошу помощи у вас умные люди
Проблема в следующем. В локальной сети, маршрутизатором которой является DFL-860e, нужно разрешить и запретить доступы к компам. Т.е.
Компьютеры А и Б, находятся в портах lan 1 и 2 соответственно. DHCP сервер статично выдает им ip 192.168.10.10 и 192.168.10.11.
Нужно разобраться в нескольких ситуациях:
1) Сделать так что бы компьютер А не видел компьютер Б. Компьютер Б видел компьютер А.
2) Сделать так что бы компьютеры А и Б не видели друг друга.

Пробовал создвать правило с дропом всех тцп удп пакетов c lan 192.168.10.10 на lan 192.168.10.11. Но нетбиос работает. Вместо all_tcpudp ставил drop_smb-all все равно нетбиос работает. Пробовал ping-inbound дропать с теми же сорс и дестинейшен, но пинги довольно бодро бегают.

Надеюсь максимально изложил суть проблемы. Помоги удаленно руки подправить
С уважением.

на 860е управляемы коммутатор . разведите их по разным Vlan это самое быстрое чтоприходит в голову .....

блокировать их вы е сможите ведь там коммтатр в одном влане если у вас так настроено .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

О виланах я думал. Но проблема в том, что с одного лан порта дальше стоит свич на 6 юзверей. И два из них не должны видеть остальных четыре
Сейчас думаю реализовать с помощью разных подсетей.

можете навесить на LAN еще подсеть . но DHCP на эту подсеть не будет работать придется руками приколачивать адреса .

можете рассмотреть еще dir-100 но там 5 портов управляемого коммутатора с соответсвующей прошивккой .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо за совет, буду ковырять

А каким образом мне повесить еще одну подсеть на лан. DHCP понятно что не сможет выдавать вторую подсеть. У меня сейчас дефолтовая 192.168.10.* получается мне нужно еще создать, к примеру, 192.1618.9.* Соответсвенно нужно для неё днс и шлюз указать 192.168.9.1. И его нужно алиасом повесить на лан интерфейс.
Сложно после л2 свичей переключиться на такую девайсину Да и знаний не хватает

Всё получилось. Если кому интересно. Тут рассказывается как пришить второй интерфейс к лан порту. В итоге получается что две машины стоят со статическими ИП из подсети 192.168.9.* и не видят никого из 192.168.10.*

Да. так будет работать. Но нет защиты на физическом уровне. Если же делать через VLAN-ы на разных портах, то получается такое же красивое и, что важнее, совершенно верное и безопасное решение.

Благо, устройство это позволяет, что вам и советовали с самого начала. К тому же в этом случае вы сможете настроить и DHCP серверы в каждом сегменте.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

в продолжении темы скажу в UTP кабеле используются на 100 мегабитах только 2 пары из 4-х

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Не удобное расположение офисных помещений и аплинка не позволяет "красиво" поделить сегменты по виланам. В одном вилане будут находиться машины которые и видеть должны другие и машины которые должны быть вынесены в отдельную сеть. Если б не это то давно б на виланах сделал.

Семь лет тому назад начинал тянуть местную сетку Это было счастье, когда можно было заюзать свободные пары А потом через пару лет бегать искать скрутку окисленную на чердаке

На этот случай вам тоже совет уже дали. Если использовать DIR-100 с прошивкой коммутатора (как самый дешевый управляемый комм-р с VLAN-ами), то и тут физически можно разделить эти сети. Но настройки, конечно, будут иные. И если хватит свободных портов на удаленном конце с DIR-100

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.