Есть
несколько закрытых для интернета локальных сетей 192.168.х.0
х=5..9
И локальная сеть с выходом в интернет 192.168.0.0
Проблема
В ОС (windows 7 например) не задать сетевые интерфейсы компьютера как шлюзы для локальной сети, т.е. чтобы все пакеты для сетей 192.168.х.0 не шли через умолчательный шлюз на интерфейсе 192.168.0.х
Надо
сделать так, чтобы маршрутизатор dlink отсекал любой траффик с провайдером для IP из закрытых для интернета локальных сетей (не отсылать и не принимать).
Как предусмотрено производителем решить такую задачу, что-то я не соображу никак?

Несколько невнятно.

Может схемку сети нарисуете. Или опишите какое сетевое обор-е исп-ся.

viewtopic.php?f=3&t=110340

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

DFL вам поможет !

просто не делайте правила из ваших закрытых сетей в интернет ...и будет вам счастье

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Может быть со стороны и невнятно, а мне так кажется совершенно ясно, потому как я с этим все время имею дело. Описываю подробнее:
- некоторые компьютеры (три, для определенности) имеют несколько сетевых карт и выходят в несколько сетей сразу (каждый в две, в одну из: 192.168.5.0, 192.168.6.0, 192.168.7.0, для определенности);
- одна локальная сеть общая для всех компьютеров (192.168.0.0, для определенности), она же через маршрутизатор dlink выходит в интернет;
- другие сети (192.168.5.0, 192.168.6.0, 192.168.7.0) закрытые и выход в интернет не допускают.
Проблема в общем такая


Первый пинг идет почти правильно, в локальную сеть 192.168.5.0 через сетевой интерфейс 192.168.5.l_host_id, получается правильный ответ "Ответ от 192.168.5.l_host_id: Заданный узел недоступен", однако пинг не прекращается, т.е. долбится в тотже или другой сетевой интерфейс.

Второй по очереди пинг сразу ломится в сетевой интерфейс 192.168.0.l_host_id, потому что там шлюз по умолчанию и через него в интернет через dlink маршрутизатор, от шлюза интернет мы получаем ответ "Ответ от 192.168.0.dlink_id: Заданный узел недоступен."

Такой хороший ответ потому, что я настроил dlink dir-100, хотя не самым лучшим способом. Если бы я это не сделал, то ответ о недоступности 192.168.5.l_host_id я бы мог получить от кого угодно, например от корневого сервера имен ru, от сервера майкрософт, яндекс и т.п., со всеми вытекающими проблемами поиска (допущения присутствия) локального компьютера в сети интернет.

Моя настройка заключается в том, что я вместо сети 192.168.0.0/24 сгруппировал вниз несколько разных локальных сетей под сетевую маску /23 /22 и т.д., макс для 2-х, 4-х и т.д. сетей вида 192.168.net.host, net от 0 до макс-1. Во-первых, это неправильно, что все эти сети трактуются dlink-шлюзом одинаково, во-вторых, есть разница для ping между ответом dlink-шлюза при правиле deny и при том, что dlink полагает траффик локальным, во-третьих, неудобно держать все net сгруппированными вместе и прижатыми к 192.168.0.0/24 .

Хотя этот вариант настройки лучший, хотелось бы уметь задавать в правилах маршрутизатора IP адреса _сетей_(а не только .1-254), траффик через переход LAN-WAN для которых в любом направлении невозможен. Может быть способ уже есть и я его не знаю? От модели маршрутизатора это не должно зависеть.

PS:
Да, не плохо бы что-бы траффик через переход LAN-LAN также контролировался подобными правилами, т.е. пакеты для IP адресов из этих правил отбрасывались.

А еще, хотя лично мне не нужно, можно было бы превращать маршрутизатор типа dir-100 в точку доступа, запрещая траффик через переходы LAN-LAN, тогда он не создавал бы паразитный канал между независимыми сетями и компьютерами при их подключении к интернету, даже если все эти компьютеры находились бы в одной сети 192.168.0.0/24 .

dfl и коммутатор L2 вам в помощь , и рулите своми сетями как захотите . может Vlan-ами это развести . и получите свои сети. и не надо извращатся по 5 сетевых карт в комп . вы для начала на компе с маршрутми разберитесь что и как ....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Запрет трафика между клиентскими портами делается при помощи функций port security/isolation, assymetric vlan - называются по разному, детали немного разные, но результат похожий.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Свяжите ваши сети коммутатором 3 уровня или маршрутизатором (DFL, mikrotik)
тупо выпустите в инет вашу сеть 192.168.0.0.
все остальные сети просто не смогут выйти наружу, т.к. не настроено

каждый комп с одним сетевым интерфейсом выведите в свою сеть.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Покупать доп оборудование для управления траффиком при живом маршрутизаторе (конкретно dir-100), это как минимум, неэффективно.

Это уже мое дело, сколько сетей использовать. А разборка "с маршрутами на компе" вообще невозможна, потому что "маршруты компа" не настраиваются как из-за ошибок в службах ОС для статической маршрутизации, так и потому, что комп ничего не знает о конфигурации сетей, к которым подключен.

Оборудовать все сетевые устройства относительно новыми и относительно непонятными протоколами для оповещения каждого устройства о конфигурации локальной сети не только неэффективно, но это в принципе неправильно перекладывать на клиента ненужные ему знания об окружающем мире только для того, чтобы он никогда не создавал ошибочные запросы на своем сетевом интерфейсе. Ошибочные запросы также могут возникать от неумышленной ошибки в настройке сетевого интерфейса. А еще есть и умышленные попытки взломать схему маршрутизации.

Любой маршрутизатор (даже dir-100) способен управлять трафиком затребованным мной образом и проблема "поиска (допущения присутствия) локального компьютера в сети интернет" не только мешает компьютерам (сетям), разделенным маршрутизаторным переходом LAN-WAN, но это и прямая дыра в безопасности "firewall для всей сети такой конфигурации в целом".

И это не какая-то моя блажь, такая проблема возникает каждый раз, когда в компьютере с windows используется более одной сетевой карточки, т.е. практически всегда, когда одновременно есть высокопроиводительная одноранговая локальная сеть из компов с windows и общий выход этих компов в интернет. Люди конечно давно смирились с этой не фатальной проблемой и стаями не возмущаются, но в маршрутизаторе ее решить очень легко, надо только ввести такой тип проверок (т.е. маршрутизатор должен уметь не пропускать через заданный LAN порт IP траффик из списка запрещенных (в моем случае локальных) сетей, даже если эти IP адреса не входят в LAN сеть, т.е. должны быть 'LAN' 'WAN' и 'запрещенная' категории сетей), непонятно почему бы не решить? Сказали бы длинку спасибо.

PS:
Кстати, конкретно dir-100 ругают в интернете за медленную работу в качестве коммутатора локальной сети, поэтому режим изолированной LAN сети (точка доступа) может быть интересен, дескать и не надо через него 100Мбит/с локальную сеть коммутировать (100Мбит/с все равно медленно для локалки), маршрутизируйте только интернет-траффик (который может быть много медленне 100Мбит/с) и IPTV. В простой реализации такого режима вообще можно никаких глобальных изменений не делать, не привязывать LAN IP адреса к LAN порту, а разрешенный через LAN-WAN переход траффик:
- c WAN отправлять на все порты LAN,
- а с каждого порта LAN только в WAN
и потребовать, чтобы все клиенты на каждом LAN порту принадлежали к одной сети и имели разные IP адреса (при dhcp-сервере это будет автоматически).

ПРИКЛОНЯЮ колено , перед теми людьми кто строит сети на dir-100 !

откланеюсь из темы удачи !
я домой купил 210-й, а вы как я пологаю промышленую сеть строите на 100ках удачи еще раз !

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Много вы написали, много...

Ничего, что я с половиной не согласен. Но конкретизировать лениво. Кроме одного - любой комп может эффективно справиться с маршрутизацией нескольких сетей. Без фильтации, просто для связи.

У меня тоже дома DFL-210. А на работу беру DFL или MikroTik. Не брал и никогда не возьму DI/DIR. Среди них есть стабильные. Но ни один не сравнится по соотношению производительность*надежность*функциональность/цена с выбираемыми мной решениями.

Люди из лучших побуждений предлагают вам оптимальное решение, а вы его настойчиво отклоняете.

Поэтому тоже могу пожелать только удачи.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Vladimir22,YuriAM
Доброго пути.

Может кто из представителей dlink вселит надежду, что firewall маршрутизаторов dlink типа dir-100,300 итд будет готов защитить локальные сети с компами windows? Между прочим, простой пользователь задав локальную сеть 192.168.0.0 для firewall маршрутизатора dlink и задействовав вторую и т.д. сеть на компе наивно полагает себя защищенным, активно объмениваясь с "локальными" компьютерами поверх маршрутизатора, мало кто из них вздумает трассировать соединения и т.д., я тоже в такую штуку попадал, пока меня не "попросили" прекратить эти террористические атаки через маршрутизатор .