Как запретить инет на роутере?

[Дятел81]

Есть Broadband Router Planet PLANET XRT - 401D
как там можно запретить/ограничить инет пользователям по ip-адресу или mac-адресу?

[Warezhunter@]

В роутере есть встроенный сетевой экран (Firewall),
Если вообще нуб в этом деле, для начала берешь мануал отсюда:
http://www.planet.com.tw/en/product/...DV1%5B1%5D.pdf
Изучаешь раздел Firewall (38 страница)
Далее открываешь браузер (Internet Explorer) и вводишь в него вместо адреса 192.168.0.1, логин admin пароль 1234 если какая нибудь зараза IP-адрес и пароль доступа к маршрутизатору не поменяла, если же поменяла, берешь чего нибудь круглое, или тонкую отвертку или пасту от ручки, вставляешь в маленькое круглое отверстие на задней панели маршрутизатора и достаешь, затем делаешь нужное дело на вкладке Firewall копай в разделе Access Control.

[Дятел81]

Поставил фильтр по ай-пи, запретил только www,
а почту оставил.
Думаю, вряд ли догадаются поменять ай-пи,
захожу в радмине через пол-часа - они уже поменяли
ай-пи и снова в контакте и за фермой ухаживают.

Сейчас запретил по мак адресу, так почту они теперь
не могут принять.

Что делать?

[sskkru]

Дятел81, не глуши весь трафик, а закрой только 80-й порт. Или разреши порты 110 и 25 (хотя бы для начала)

[Дятел81]

sskkru, и как запретить порт 80, или разрешить порты 110 и 25?

как я понимаю, это как-то надо сделать в Перенаправление портов или в Виртуальном сервере...

[SSNik]

Дятел81, по MAC - это блокировка, тебе же ограничения нужны.

предположим, что у тебя есть группа пользователей, которым разрешена только электронная почта, и меньшая группа, для которой разрешен и www.
тогда в Access Control ставишь ip-фильтрацию для всего диапазона ip-адресов (за минусом самого роутера, скажем роутер - 192.168.0.1) с 192.168.0.2 по 192.168.0.254, и разрешаешь только E-mail sending и E-mail receving.
далее в разделе NAT - Virtual Server перенаправить для определенных ip порты служб со стандартных на "нестандартные", скажем http c 80 порта перекинуть на 40000-ый порт, главное не забыть корректно настроить браузер.
в таком случае, пользователи для которых инет запрещен, как бы не меняли ip-адрес, его не получат, для того чтоб его получить нужно будет не только знать ip "привилегированного" пользователя, но и "секретный" порт на который для него перенаправляется www, а этот порт ведь для каждого "привилегированного" может быть свой

это был пример, а "схема" выглядит так:
Ассеss Control используем для правил с максимальным "охватом", а NAT - Virtual Server для исключений ("точечных").

[Дятел81]

разрешил доступ в инет только нескольким ай-пи, с нужнными ограничениями
для тех кому можно пользоваться только почтой,
но
на сервере не подымается впн pptp и не пингуются внешние ай-пи адреса,
хотя сайты открываются...
какие порты открыть чтобы подымалась впн pptp? (хамач резервный подымается)

[SSNik]

мда... нашел уже несколько инструкций на сей девайс... и все разные.
понятно, что прошивки играют свою существенную роль... но чтоб настолько разные?? вернее отличаются они по степени подробности, ну и в паре пунктов есть конкретно диаметральные расхождения...

короче, в предущем моем посте высказана однозначно неверная мысль - по Макам не только запрещают, разрешать по ним естессно тож можно. и в свете того, что по ip-фильтрации то ли range (диапозон), то ли один адрес, а создать можно только 20 правил (или больше?), то конечно по Макам фильтрация предпочтительней (если в ip-фильтрации невозможно выставить диапазон адресов).

кстати, vpn-pptp можно разрешить для всех (ну или по Макам если, то только для сервака), ибо для пользователей это будет "незаметно". или перенаправить из "NAT"-"Port Forwarding", TCP порт - 1723.
пинги ходят по протоколу ICMP и роутер по идее не должен блокировать его, но возможно следует на сервер из "NAT"-"Port Forwarding" перекинуть порт 7 (и TCP и UDP, т.е. "Both")

[sskkru]

Цитата: Сообщение от Дятел81 как-то надо сделать в Перенаправление портов или в Виртуальном сервере

можно через IP-фильтрацию. Виртуальный сервер - это немного другое.
Вообще-то твою задачу проще (нагляднее и удобнее) решать с помощью прокси-сервера

[Дятел81]

Так теперь умные юзеры создали Подключение к интернету на кассе,
там появилось новое Сетевое подключение(которое не дает себя отключить),
Шлюз интернета, Интернет - Шлюз интернета - Мой компьютер
вот ай пи конфиг на этом компе,
C:\Documents and Settings\user>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : kassa_15
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti
on
Физический адрес. . . . . . . . . : 00-14-85-23-13-AC
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.42
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.254
DNS-серверы . . . . . . . . . . . : 192.168.0.254

Teredo Tunneling Pseudo-Interface - туннельный адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : FF-FF-FF-FF-FF-FF-FF-FF
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : fe80::5445:5245:444f%4
Основной шлюз . . . . . . . . . . :
NetBIOS через TCP/IP. . . . . . . : отключен

Automatic Tunneling Pseudo-Interface - туннельный адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Automatic Tunneling Pseudo-Interface

Физический адрес. . . . . . . . . : C0-A8-00-2A
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : fe80::5efe:192.168.0.42%2
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS через TCP/IP. . . . . . . : отключен

Как удалить/отключить этот шлюз инета?

[parahumanoid]

Цитата: Сообщение от Дятел81 Поставил фильтр по ай-пи, запретил только www, а почту оставил. Думаю, вряд ли догадаются поменять ай-пи, захожу в радмине через пол-часа - они уже поменяли ай-пи и снова в контакте и за фермой ухаживают. Сейчас запретил по мак адресу, так почту они теперь не могут принять. Что делать?

А Вы в маршрутах Ай-пи ВКонтакте заверните обратно на локальную сеть. И будет "сервер не найден".

[Zhlobny Hmur]

Цитата: Сообщение от Дятел81 Думаю, вряд ли догадаются поменять ай-пи, захожу в радмине через пол-часа - они уже поменяли ай-пи и снова в контакте и за фермой ухаживают. Сейчас запретил по мак адресу, так почту они теперь не могут принять.

Ну, они и мак адрес подменить могут... А бы просто тупо запретил IP контакта....

[parahumanoid]

Не знаю как на данном маршрутизаторе, но многие позволяют параноикам делать привязку физ.порт - мак-адрес. тогда уж не подменишь. понту нет - вообще из сети выпадешь. Да и не всякий знает как заменять мак, и не всякий контроллер имеет эту фичу.

А вообще - все это фанатизм. Либо закрывайте ай-пи контакта вообще, либо ставьте маршрутизатор на базе ПК, где Вы будете отлавливать их хоть по ай-пи, хоть по маку, хоть по имени хоста, хоть по идентификатору безопасности. А вообще, чтобы вам ай-пи не меняли, не пробовали у юзеров права админа забрать? помогает.

[Zhlobny Hmur]

Цитата: Сообщение от parahumanoid А вообще, чтобы вам ай-пи не меняли, не пробовали у юзеров права админа забрать? помогает.

И разрешить только запуск рабочих прог....