Прошу помощи вот с чем: для некоторых пользователей сети (ну, скажем, для пула 192.168.0.150-192.168.0.200) необходимо ограничить выход в Интернет, а именно разрешить ходить только по определенным IP

Как?

1ю делаете группу IPV4 из этих адресов
2.создаете группу из IP адресов на которые им можно ходить
3. делаете правило
nat: lan\you_groop_local wan\ you_groop_internet :all-servise
drop: lan\you_groop_local wan\ you_groop_internet :all-servise
два этих правила загоняете в самый верх - проверяете - должно работать .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Недопонял...
правила отличаются только действием : nat или drop ?
наверное, во втором правиле надо запретить ходить куда-бы то ни было ? типа drop: lan\you_groop_local wan\ all_nets :all-servise ?

да . сорри закопипастил да второе правило как вы и написали

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Завтра опробую, спасибо!

Пришло время усложнить задачу
Разрешение на выход в Инет для определенного списка МАС (фильтрация по IP уже не "катит"). Как?

Пытался сделать аналогично варианту с IP, но нет возможности выбрать группу Ethernet адресов.
Прошу помощи.

Или в этом устройстве вообще нет фильтра по MAC-адресу?

MAC-адрес можно статически привязать к IP через ARP/Static, чем достигается требуемое, если не считать того, что сменить MAC сейчас не сложнее, чем IP. Как уже многократно обсуждалось, в том числе и здесь, если пользователь сидит под правами админа, не получится техническими мерами его всерьез ограничить, он ведь может и GPRS модем притащить.

т.е. мне надо развернуть на устройстве еще и dhcp-server?
а если пользователь вручную пропишет IP? Это будет работать?
Естественно, MAC меняется легко.
Просто я могу привязать все устройства в организации к персональному IP по MAC, а все остальные MAC идут лесом

Идете в Interfaces -> ARP
Add -> Static, прописыаете Ваши MAC и IP, DHCP тут ни при чем.
Но если пользователь додумался до установки "привилегированного" IP, он, вероятно, сможет поставить и
"привилегированный" МAC -- узнать МАС по IP в сети ничего не стоит.

Я недопонял немного.
Если пользователь все-таки не будет использовать DHCP для получения IP, а пропишет IP вручную - использование ARP поможет?
Про смену MAC пока не говорим.

Может имеет смысл в сети Проксю организовать?
и всех разворачивать через нее? А всем получившим IP-адрес (или его подставившим) напрямую ходить через DFL'ку запрещено.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Такой вариант будем пробовать, если юзер хитромудрый попадется.
Пока буду оперировать наличным оборудованием

Данная фича замещает обычный механизм ARP для заданного адреса. Т. е. когда нужно отослать пакет на 192.168.1.10, например, обычно шлется широковещательный ARP-запрос: "Кто имеет IP 192.168.1.10, какой у Вас МАК?". В данном случае этого делаться не будет, пакет будет отослан на тот МАК, который Вы задали, т. е. злоумышленник из Интернета ничего не получит.

Хм, в ARP указываем MAC "злоумышленника" ?

Честно говоря, я запутался

Вот как я на данный момент представляю:

Через Rules я блокирую выход в Инет по IP
Этот же IP я привязываю к MAC в ARP.
Так?