Контроль MAC- адресов в LAN

Описание: Обсуждаем все что связано с модемами, радиомодемами, маршрутизаторами, сетевыми картами, а также администрирование сетей и сетевых протоколов.
Правила раздела: http://pc-forums.ru/topic1880.html
Модератор: Junior

#1 Walera1979 » 02.11.2014, 17:34

Здравствуйте, подскажите из практики, недорогой, простецкий роутер-маршрутизатор, который может легко контролировать подключение к нему и интернету из общей лановской сети. Для сведения: в здании имеется проводная сеть, к ней подключены около 50 компов, часть из них должны иметь доступ к иннету, часть нет. Иннет подведен через вай-фай мост и раздается в общую сеть, из этой сети по нескольким вай-фай маршрутизаторам так же раздается на некоторые ноуты и телефоны. Вай фай роутеры беспроводную сеть контролируют достойно, а вот компы в проводной сети, получают иннет самостоятельно. Необходимо их ограничить, частично. Уже перебрал несколько простых роутеров, не могу найти подходящее решение. помогите.
Walera1979
Автор темы, Прохожий
Прохожий
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 2
Темы: 1
Зарегистрирован: 02.11.2014
С нами: 2 года 1 месяц

Контроль MAC- адресов в LAN

 

#2 Sanix » 02.11.2014, 19:12

Скорее всего нет таких бюджетных роутеров, которые справились бы с Вашей задачей. Фильтровать сеть, умеют девайсы с полноценным фаерволом, такие как cisco, etc. То есть специализированное оборудование. Обычный бюджетный роутер, максимум на что способен -это залочить доступ по ip/mac адресу одну машину. Вам надо наоборот, разрешить определенные мак адреса пускать в инет, остальное все в правило deny. Если лочить как Вы хотите по ip, нет уверенности, что пока выключен комп соседа с 3го этажа, то с 5го не возьмет его адрес другой сосед :) В таких целях лучше купить за 10 -15 у.е. какой-нить целерончик 1 GHz на 370 сокете с 256 озу и 20 гб винтиком и поставить туда Линуху, в iptables настроить все правила. Выйдет дешево и сердито :)

P.S. можно конечно FreeBSD, но гибкость настроек iptables давно обскакала фришный ipfw.
Sanix M
Поддержка
Поддержка
Аватара
Возраст: 33
Откуда: /home
Репутация: 138
Лояльность: 22 (+22/−0)
Сообщения: 1479
Темы: 28
Зарегистрирован: 31.10.2013
С нами: 3 года 1 месяц

 

#3 Прoxoжий » 02.11.2014, 21:58

Sanix писал(а):Скорее всего нет таких бюджетных роутеров, которые справились бы с Вашей задачей. Фильтровать сеть, умеют девайсы с полноценным фаерволом, такие как cisco, etc.
Э-э-э, Sanix, вы как бы не правы.
SOHO, дальше некуда, обычный ZyXEL Keenetic
Нажмите, чтобы показать/скрыть...
Изображение
Обфильтруйся хоть по самое немогу.
ПионЭр с отверткой при высоком уровне любознательности в состоянии самостоятельно починить технику любой сложности.
Напрочь...!

Лучше молчать и казаться глупцом, чем открыв рот, развеять последние сомнения.
Прoxoжий
Эксперт
Эксперт
Аватара
Откуда: Из тех ворот, откуда вышел весь народ
Репутация: 931
Лояльность: 13 (+14/−1)
Сообщения: 8144
Темы: 26
Зарегистрирован: 16.02.2012
С нами: 4 года 9 месяцев

#4 Sanix » 02.11.2014, 22:16

Прoxoжий,
Sanix писал(а):Обычный бюджетный роутер, максимум на что способен -это залочить доступ по ip/mac адресу одну машину.
То есть не одну машину, а для каждой машины создавать отдельное правило(не могу поправить уже свой первый пост, ибо счезла кнопка редактирование). У тс хорошо, ~50 машин. А было бы 500 машин в сети - это неделя работы руками:) Ибо бюджетные роутеры не расчитаны на такие задачи, максимум - это залочить доступ одной машине в одном правиле.
Здесь надо делать наоборот, лочить всех кроме исключений, а вот исключения- это и есть те компы, которым можно получать инет. С этим простой роутер не справится. А вообще, немешало бы поднять vpn и дать доступ в инет машинам только из этой сети, ибо маки и айпи меняют, даже если статика по dhcp присвоена. Опять же, vpn + static dhcp бюджетный роутер не поднимет, окромя d-link'a 804-805 и т.д.

З.Ы. Я рекомендовал тс правильный вариант для его задачи, но можно и Ваш тоже принять, пусть выбирает.
Sanix M
Поддержка
Поддержка
Аватара
Возраст: 33
Откуда: /home
Репутация: 138
Лояльность: 22 (+22/−0)
Сообщения: 1479
Темы: 28
Зарегистрирован: 31.10.2013
С нами: 3 года 1 месяц

 

#5 Walera1979 » 03.11.2014, 03:33

Спс, за участие, зиксель на глаза не попадался.... Раньше я иннет по АДСЛ пускал в сеть, так вот у асуса н10 удобный общий мак-фильтр, но на 12 адресов всего (либо белый список, либо черный), но к сожалению через впн почему то иннет раздавать не хочет. Конечно, если у кого еще есть варианты, просьба киньте примеры! У зекселя только черный список? сколько влезет в него?
Walera1979
Автор темы, Прохожий
Прохожий
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 2
Темы: 1
Зарегистрирован: 02.11.2014
С нами: 2 года 1 месяц

#6 Sanix » 03.11.2014, 07:50

По поводу зухеля и ряда других производителей роутеров. Обнаружена серьёзная уязвимость в настройке NAT-PMP популярных роутеров
Sanix M
Поддержка
Поддержка
Аватара
Возраст: 33
Откуда: /home
Репутация: 138
Лояльность: 22 (+22/−0)
Сообщения: 1479
Темы: 28
Зарегистрирован: 31.10.2013
С нами: 3 года 1 месяц

 

#7 Прoxoжий » 03.11.2014, 10:35

Walera1979 писал(а):У зекселя только черный список? сколько влезет в него?
И чёрный, и белый. А вот сколько ни где не описано, а я не экспериментировал.
Нажмите, чтобы показать/скрыть...
Изображение
Кстати это довольно старый роутер, сейчас таких в продаже нет, а у новых более мощная начинка.

Sanix писал(а):По поводу зухеля и ряда других производителей роутеров. Обнаружена серьёзная уязвимость в настройке NAT-PMP популярных роутеров
Лечится в течении 30 секунд, согласно рекомендациям той же статьи.
Нажмите, чтобы показать/скрыть...
Изображение
ПионЭр с отверткой при высоком уровне любознательности в состоянии самостоятельно починить технику любой сложности.
Напрочь...!

Лучше молчать и казаться глупцом, чем открыв рот, развеять последние сомнения.
Прoxoжий
Эксперт
Эксперт
Аватара
Откуда: Из тех ворот, откуда вышел весь народ
Репутация: 931
Лояльность: 13 (+14/−1)
Сообщения: 8144
Темы: 26
Зарегистрирован: 16.02.2012
С нами: 4 года 9 месяцев

#8 Sanix » 03.11.2014, 18:36

Прoxoжий, да, лечится. Все оно лечится. Но у других же производителей нету таких проблем, во всяком случае не найдены. Не факт, что у того же зухеля нету других уязвимостей. Вроде бы мелочь(не закрыт порт по дефолту), а очень будет неприятно, если кто-то завладеет твоими личными данными. Я говорю о том, что все же стОит подумать перед выбором.
Sanix M
Поддержка
Поддержка
Аватара
Возраст: 33
Откуда: /home
Репутация: 138
Лояльность: 22 (+22/−0)
Сообщения: 1479
Темы: 28
Зарегистрирован: 31.10.2013
С нами: 3 года 1 месяц

 


  • Понравилась тема? Поделись с друзьями!

Вернуться в Сетевое оборудование и технологии

 


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение