ограничить доступ к сети и интернету
 

Здравствуйте, есть проблема...

имеется сеть, состоящая из:
1 - роутер-модем DSL_2640NRU (раздача интернета, ип-адресов, нат), 192.168.1.1, проводное подключение;
2 - роутер-вайфай TP-WR940N (раздача ип-адресов, {смысл его использования - беспроводное подключение, т. к. роутер№1 находится далеко}), проводное подключение;
3 - сервер Windows Server 2008 R2 Standart (общие файлы, раздача ип-адресов), проводное подключение.
4 - компьютеры, проводноые подключения;
5 - ноутбуки, беспровдные подключения.

Задачи:
1 - ограничить доступ к сети по МАС-адресам, как проводных так и беспроводных устройств;
2 - ограничить доступ к интернету по МАС-адресам, только для проводных подключений;
3 - ограничить доступ онлайн-программ (чаты, торрент-клиенты и т. д.)

Вопросы:
1 - то, что на каждом модеме и сервере настроен dhcp-server, это ведь неправильно?
2 - как организовать сеть, чтобы раздача ип-адресов была от одного устройства, желательно от сервера?
3 - читал, что если в роутер-модеме, подключение к интернету через PPPoE, то фильтрация по МАС-адресам работать не будет. Проверил - правда. Можно это как нибудь обойти?

Примечание: Конечно, заранее извиняюсь, если подобные вопросы уже поднимались и решались

Неправильно.

Отключить везде DHCP. На сервере - оставить. TL-WR940N включить в режим точки доступа.
Сервер установить между модемом и остальной сетью. На сервер установить, например, TMeter. Им и рулить доступ. Можно сервер оставить там, где есть, а установить между модемом и сетью простенький компьютер с Windows + TMeter, либо с pfSense, либо с чем там вы умеете работать.

[/q]
не совсем понимаю...
даже если со включенным dhcp-server, компьютеры беспроводного подключения берут ип адреса от роутер-модема DSL_2640NRU. Если просто отрубить dhcp-server, я получу то, о что мне нужно?
Примечание: у каждого сервера dhcp (DSL_2640NRU, TL-WR940N, сервер) своя область раздачи ип-адресов, не один компьютер не получает ип-адрес из области указанной TL-WR940N

Как бы не вариант... Я понимаю, что так было бы проще.
Но модем стоит слишком далеко от всех, поэтому пришлось отключить там беспроводную сеть и поставить доролнитульный роутер для беспроводного подключения к сети.
Я, вообщем, искал вариант, чтобы физически все оставалось как есть.

kairden, Зачем все так усложнять?
Вам этого не сделать с вашим оборудованием, то что вы сделаете будет висеть на соплях и обходиться за пару минут.

Где отрубить?
Ну отрубите его везде.
Вам нужен только 1 DHCP сервер, от этого и отталкивайтесь.

И научитесь рисовать схемы, а то голову можно сломать пока читаешь.

не получится
лучший вариант и уже на сервере разделить на "своих" и "чужих"

Так и надо, в том смысле, чтобы дать сетевую власть серверу. но вот дистанция до модема все портит.
А это будет считаться вариантом: в модеме установить подключение bridge?
1 - Как это вообще будет выглядеть?
2 - каждому компьютеру придется проходить авторизацию доступа в интернет или один раз, например на сервере?
3 - если каждому, то можно раздавать интернет через сервер?

Вики
Чего?
Научитесь формулировать вопросы!
Я вот не хрена не понял что за авторизация, что за "если каждому" и что за раздача интернета на сервер.

И какова же эта дистанция?

Моя не понимать, что означать "точки доступа". Роутер для беспроводной сеть не присваивать ип-адрес. Поэтому моя решить, просто отключать DHCP-сервер. Моя думать, что все итак понять из контекст - речь идти о роутер беспроводная.

Доступно?
А я вот пока ничего полезного от тебя не узнал, только твое нытье о том, что ты туго врубаешься в суть без картинок.

Не слишком большая, но беспроводное подключение к нему не тянется.
Проблема даже не в этом, а в том что он находится в закрытом помещении и только там находится тел. линия.

Нет.
Вас в гугле забанили?
Беспроводная точка доступа
Это гениально.
А моя думать что придет модератор и сделает выговор Вам.

Да, я туго врубаюсь в кривые описания и по моему схема сети это нормальное явления.

Ваш вопрос сам по себе дурацкий.
Всего то нужно сделать сервер или роутер шлюзом, сделать ограничения по макам и все.
И как я написал выше о всяких ограничениях Вы можете забыть.
Ваш уровень знаний не позволит использовать методы ограничения трафика.

Rezor666, Не психуй, это всего лишь форум. И перестань ныть, скину я тебе картинки:) потом... половину:)
просто, сейчас немного занят.

Если роутер-модем подключен к общей сети, можно ограничить к нему доступ, чтобы только сервер мог получать от него интернет?

Если он выступает в роли шлюза то нет.
Максимум что Вы сделаете это сделайте авторизацию по mac и тогда клиенты не смогут получать от него интернет, но в таком случае вы ставите сервер под удар.

кабеля нет от модема к сети/серверу?

Мне кстати всегда было интересно, роутер-модем обязательно должен быть основным шлюзом, чтобы раздвать интернет?
"авторизация по мас" - это как бы фильтрация по мас-адресу?
"сервер под удар" - что с ним станет?

Зависит от роутера и пониманием фразы "раздавать интернет", на роутере может стоять squid и он будет раздавать интернет но при этом он не будет шлюзом.
Все верно.
Если начнут клонировать mac то это парализует связь с сервером.
Но если у Взломщика есть выбор то он предпочтет отключить клиентский компьютер.

в смысое, проводное или беспроводное подключение к общей сети? через проводное подключен

тогда в чем проблема поставить сервер между модемом и сетью?

а я не могу не вариант наверно, просто DSL_2640NRU не дает использовать эту функцию, если подключение не через bridge
незнаю как еще можно понимать эту фразу, squid'a нету.
то есть модем - сервер - рабочая_сеть, единственный вариант в моем случае?

сервер и модем находятся на разных этажах, связываюся через хаб. это можно считать проблемой?

Тогда вообще без вариантов.
Знаю.
Да.
Но самый правильный - модем - шлюз - сервер - рабочая сеть.
Шлюз можно реализовать 2 способами:
1- Покупкой железа или роутеров типа ALIX.
2- Гипервизором.

Ах да, потребуется знания Linux/Unix.

имеется ввиду то, что имеется в моем случае?
это еще что такое?
зашибись, всегда мечтал их приобрести.

Нет, это оборудования придется покупать.
Можете ознакомиться с ALIX
Хотя можно обойтись и старым системником с 2 сетевухами.

Гипервизор
Например ESXi

Ну начинайте.
Советую начинать с Debian.

Для изучения можете использовать VirtualBox или Hyper-V.

В чём же тут проблема? Вы путано объясняли о каком-то беспроводном соединении, а тут, оказывается, всё медью соединено. Вот, почему написаны Требования к информативности содержания сообщения и названию темы
Кстати, хабы вымерли лет 10 с гаком назад.

кстати, основная часть сетевого кабеля в стене.

kairden, ну, и в чём проблема соединить модем и сервер напрямую, воткнуть в сервер вторую сетевую карту, а от неё бросить кабель к коммутатору? В лени?

Доброе утро.
Я извиняюсь конечно, дело совсем не в лени, а в знаниях и это думаю всем заметно. Я правда незнал, что так можно...

ип-адреса между сервер-модем и сервер-сеть, должны отличаться ведь так?
как лучше организовать раздачу интернета на сервере?
возможно ли сделать это средствами операционной системы (dhcp-server)?

Скажем так, для работы NAT необходимо, чтобы адреса карточек принадлежали различным диапазонам.


Если не собираетесь мониторить/разрешать/запрещать/рулить скоростью, то силами самой Windows Server, а именно службой Маршрутизация и удалённый доступ (RRAS).
Если собираетесь, то вам уже ответили:

DHCP-сервер ничего не имеет общего с раздачей Интернета.


Уважаемый, вы, хоть, в Яндекс забейте названия и термины, которые тут приводите. Почитайте, что есть что. 80% глупых вопросов отпадут сами собой.

Конечно, в сети не могут быть одновременно два одинаковый айпи-адреса, иначе у Вас конфликт будет. Равно как и два имени ПК не могут присутствовать одновременно.
Например, у нас сеть локальная 192.168.115.х, адрес модема - 192.168.0.1. На сервере в сетевых картах ставим 192.168.0.2 (карточка смотрит в модем), 192.168.115.1 (карточка смотрит в локальную сеть).

Возможно. Только DHCP тут не причем. DHCP-сервер "раздает ай-пи адреса" и напрямую с раздачей интернета от не связан. Если не хотите с ним "связываться", то можете явно указать адреса в сетевых картах устройств.

Спасибо всем большое, на данный момент я получил исчерпывающие ответы.
За "dhcp-server" извиняюсь, писал в спешке. имелось в виду "например dhcp-server" - чтобы раздача интернета производилась системными средствами как dhcp-server, а не им самим.

Здравствуйте, у меня как бы все получилось. Но теперь встала есть проблема к доступу внутренней сети извне (порты закрыты). Новую тему создать или можно продолжать в этой?

kairden, новую. Ибо одна проблема - одна тема.