Здравствуйте! На днях получил межсетевой экран D-Link DSR 250n. Основная задача - вход пользователя в сеть только под одни ip адресом. Если он меняет у себя на ПК ип, выход в интернет для него блокируется. Подскажите как организовать это?
Думал ip/mac binding. Я так понимаю, что определенному ip привязывается определенный mac. И если, они не совпадают, то блокируются. Не работет. Пишу mac c0:f8:65:64:05:13 ip 192.168.0.213. Меняю ip на пк - пускает, ставлю 192.168.0.213 на другой сетевой карте - пускает.
Пользователи подключаются по Wireless

мда...полазил по сайту...переубедился, что это корыто, а не межсетевой экран, и исправлять все его баги никто не собирается...Пользователей не показывает, wpa2 в интерфейсе нет, binding не работает, нарезка трафика до ужаса неудобная и это еще даже за vpn не брался

Не знаю, но даже на маршрутизаторе DIR-615 E4 эта задача решаема, причем, элементарно. За это отвечает Access Control (управление доступом) http://support.dlink.com/emulators/dir6 ... ontrol.htm. Стоил такой маршрутизатор порядка, уже не помню, вроде 45 дол. ((Да не может быть, чтобы на DSR-250n невозможно было бы четко решить данную задачу.

Нус Access Controla там нет...перелапатил весь роутер, пока не нашел...Зато баги с каждым часом новые...Вот сейчас обнаружил, что режет полосу пропускания через lan порт с 60 мбит/с до 3 Мбит/с. Перепрошил, WPA2 появилось, зато в настройках нарезки ширины канала, трафик ANY исчез, то есть теперь я должен для каждого протокола создавать новое правило нарезки + для каждого ip отдельное правило...это что ж получается, чтобы обрезать ширину канала с 192.168.0.2 по 192.168.0.22, надо создать как минимум 150 записей...:О

Посмотрел инструкцию, а если в разделе Firewall Settings попробовать настроить эту шляпу? Сначала создать правило, которое запретит всем машинам доступ в Интернет:



после, создать правило, которое разрешит только определенной машине доступ в Интернет.

Так а что мне это даст...мне надо запретить выходить определенному пк с другого, не его, айпишника...А эти правило просто перекроют выход айпишнику с лобого компа...
Еще одна проблема : не режется ширина канала...мало того что для каждого ip нужно задавать ширину канала под каждый протокол ( как минимум(!) http и ftp, итого в результате, для диапазона .20-.60 , 80(!) записей) , так еще и не обрезает...в обычном роутере, который сейчас стоит ,это делается одной строкой и прекрасно работает...

Что-то непонятно. К примеру, если сделать два правила, первое правило запрещает всем, второе правило – разрешает только определенным, допустим компьютеру с ip-адресом 192.168.10.20. В случае если пользователь попытается прописать вручную ip-адрес 192.168.10.21 на сетевом интерфейсе своего компьютера – будет отдыхать без интернета.
Разве такое нельзя реализовать? Или вопрос в другом?

Немного не так...Например, у компьютера адрес 192.160.0.21, на который стоит нарезка трафика 1 Мбит/с...Так же в сети сети есть несколько ip, которые используют 8 Мбит/с с 192.168.0.22-.30 . Так вот, этот пользователь меняет с 192.168.0.21 на 192.168.0.22 и пользуется 8 Мбит/с , вместо 1Мбит/с...Как то так...
В принципе, можно нарезать по mac-адресам ,или создать вторую access point и на нее делать нарезку, но он не режет вообще. Ставлю на протоколы HTTP, HTTPS,FTP, проверяю speed тестом, скорость та же...


Через ssh удалось поставить ограничение скорости на все протоколы ("ANY"). Но обрезает только upload, download никак