Контроль MAC- адресов в LAN

[Walera1979]

Здравствуйте, подскажите из практики, недорогой, простецкий роутер-маршрутизатор, который может легко контролировать подключение к нему и интернету из общей лановской сети. Для сведения: в здании имеется проводная сеть, к ней подключены около 50 компов, часть из них должны иметь доступ к иннету, часть нет. Иннет подведен через вай-фай мост и раздается в общую сеть, из этой сети по нескольким вай-фай маршрутизаторам так же раздается на некоторые ноуты и телефоны. Вай фай роутеры беспроводную сеть контролируют достойно, а вот компы в проводной сети, получают иннет самостоятельно. Необходимо их ограничить, частично. Уже перебрал несколько простых роутеров, не могу найти подходящее решение. помогите.

 

[Sanix]

Скорее всего нет таких бюджетных роутеров, которые справились бы с Вашей задачей. Фильтровать сеть, умеют девайсы с полноценным фаерволом, такие как cisco, etc. То есть специализированное оборудование. Обычный бюджетный роутер, максимум на что способен -это залочить доступ по ip/mac адресу одну машину. Вам надо наоборот, разрешить определенные мак адреса пускать в инет, остальное все в правило deny. Если лочить как Вы хотите по ip, нет уверенности, что пока выключен комп соседа с 3го этажа, то с 5го не возьмет его адрес другой сосед В таких целях лучше купить за 10 -15 у.е. какой-нить целерончик 1 GHz на 370 сокете с 256 озу и 20 гб винтиком и поставить туда Линуху, в iptables настроить все правила. Выйдет дешево и сердито

P.S. можно конечно FreeBSD, но гибкость настроек iptables давно обскакала фришный ipfw.

 

[Прoxoжий]

Скорее всего нет таких бюджетных роутеров, которые справились бы с Вашей задачей. Фильтровать сеть, умеют девайсы с полноценным фаерволом, такие как cisco, etc.

Э-э-э, Sanix, вы как бы не правы.
SOHO, дальше некуда, обычный ZyXEL Keenetic

Спойлер

Обфильтруйся хоть по самое немогу.

 

[Sanix]

Прoxoжий,

Обычный бюджетный роутер, максимум на что способен -это залочить доступ по ip/mac адресу одну машину.

То есть не одну машину, а для каждой машины создавать отдельное правило(не могу поправить уже свой первый пост, ибо счезла кнопка редактирование). У тс хорошо, ~50 машин. А было бы 500 машин в сети - это неделя работы руками Ибо бюджетные роутеры не расчитаны на такие задачи, максимум - это залочить доступ одной машине в одном правиле.
Здесь надо делать наоборот, лочить всех кроме исключений, а вот исключения- это и есть те компы, которым можно получать инет. С этим простой роутер не справится. А вообще, немешало бы поднять vpn и дать доступ в инет машинам только из этой сети, ибо маки и айпи меняют, даже если статика по dhcp присвоена. Опять же, vpn + static dhcp бюджетный роутер не поднимет, окромя d-link'a 804-805 и т.д.

З.Ы. Я рекомендовал тс правильный вариант для его задачи, но можно и Ваш тоже принять, пусть выбирает.

 

[Walera1979]

Спс, за участие, зиксель на глаза не попадался.... Раньше я иннет по АДСЛ пускал в сеть, так вот у асуса н10 удобный общий мак-фильтр, но на 12 адресов всего (либо белый список, либо черный), но к сожалению через впн почему то иннет раздавать не хочет. Конечно, если у кого еще есть варианты, просьба киньте примеры! У зекселя только черный список? сколько влезет в него?

 

[Sanix]

По поводу зухеля и ряда других производителей роутеров. Обнаружена серьёзная уязвимость в настройке NAT-PMP популярных роутеров

 

[Прoxoжий]

У зекселя только черный список? сколько влезет в него?

И чёрный, и белый. А вот сколько ни где не описано, а я не экспериментировал.

Спойлер

Кстати это довольно старый роутер, сейчас таких в продаже нет, а у новых более мощная начинка.

По поводу зухеля и ряда других производителей роутеров. Обнаружена серьёзная уязвимость в настройке NAT-PMP популярных роутеров

Лечится в течении 30 секунд, согласно рекомендациям той же статьи.

Спойлер

 

[Sanix]

Прoxoжий, да, лечится. Все оно лечится. Но у других же производителей нету таких проблем, во всяком случае не найдены. Не факт, что у того же зухеля нету других уязвимостей. Вроде бы мелочь(не закрыт порт по дефолту), а очень будет неприятно, если кто-то завладеет твоими личными данными. Я говорю о том, что все же стОит подумать перед выбором.