Добрый день! Прошу помощи!

Имеем DFL-210 используется как шлюз для сети 10.0.0.0/24, имеет ip 10.0.0.1
Имеем DIR-615-e3/e4, который используется как wi-fi точка, для раздачи интернета пользователям сеть 172.20.100.0/24

wan на dir настроен так ip 10.0.0.2, 255.255.255.0, шлюз 10.0.0.1, dns 10.0.0.1
dir подключен на прямую к dfl
пользователь подключается к dir'у получает доступ в интернет все счастливы, но так же он получает доступ и к сети 10.0.0.0

Вопрос: какое правило или правила надо создать на dfl, что бы с dir'а пользователи получали только доступ в интернет через DFL и не имели доступа к остальным пользователям сети 10.0.0.0 ?

Если NAT на DIR'е включен, то не должен получать.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Или подойти к вопросу совсем кардинально - подключить wan-порт DIR'а в порт DMZ на DFL'ке и прописать правила на выход в Интернет dmz_to_wan аналогичные тем, что в папке lan_to_wan.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Огромное спасибо за советы, сделал через dmz, но все равно я не понимаю почему правилами это закрыть нельзя..можно закрыть доступ на ван, а в саму сеть остается.

потому что LAN на одном коммутаторе - в вашем случае не управляемом
DFL в обработке данного трафика не участвует . поэтому правила и не будут работать
выделение DMZ и\или Vlan ( через управляемый коммутатор ) идеальное решение и к тому же безопасно для всех

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

почему это ?! !
ведь для DFL все клиенты DIR-a будут 10.0.0.2 , и как следствие это его подсеть где все разрешено

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

SMB-траффик NAT на DIR'е все же блокирует... (ну, должен по крайней мере...)

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

с дира видна будет сеть на DFL вот обратно - нет .....

по поводу - >>все же блокирует... (ну, должен по крайней мере...)
это надо у ТП поспрошать ну думаю не кинут они взор сюда

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

чисто в теории DFL же должен отсеивать трафик, который запрещен правилами

у 210 -го не управляемый коммутатор это все равно что в простой сввич воткнуть ?! кто там отсеивать будет сетку за диром ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да даже в теории не должен! Через его мозги в этот момент трафик не идет!

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

что бы сеить траффик ( просеивать ) он должен проходить между интерфесами а тут внутри одного интерфеса - он даже не знает что у него там по коммутатору бегает , мультики по TCP или голос в UDP

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Либо выводите DIR в порт DMZ или VLAN

Либо на самом DIR делайте запрещающее правило не пускать в сеть 10.0.0.0/24, но с точки зрения DFL это ненадежное решение

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc