https://www.opennet.ru/openforum/vsluhforumID1/83221.html Сервак Freebsd 7.0 раздает в сетку интернет на 20 компов, всем им нужно задать определенную скорость. Например с 10.1.1.33 по 10.1.1.43 - поставить лимит скорости 128К. Остальные 10 нужно уже каждому задавать по отдельности.<br>Как сделать так чтобы юзер не мог поменять себе айпиху и юзать свободно канал, что нужно писать в IPFW? Я полагаю нужно заблокировать весь диапазон IP 10.1.1.0/24 и разрешить только те, которые используются? Как это сделать?<br>Немного информации:<br>[code]<br># ifconfig<br>rl0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br> options=8&lt;VLAN_MTU&gt;<br> ether 00:02:2a:e1:09:b1<br> inet 81.30.17x.xxx netmask 0xfffffffc broadcast 81.30.17x.xxx #Внешний IP<br> media: Ethernet autoselect (10baseT/UTP)<br> status: active<br>rl1: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br> options=8&lt;VLAN_MTU&gt;<br> ether 00:e0:4d:3d:ef:6c<br> inet 10.1.1.6 netmask 0xffffff00 broadcast 10.1.1.255 #Внутренний IP<br> media: Ethern https://www.opennet.ru/openforum/vsluhforumID1/83221.html#6 Tue, 09 Dec 2008 10:55:30 GMT может:<br>ipfw add 100 allow all from lan_1 to lan_2<br>ipfw add 101 allow all from lan_2 to lan_1<br>ipfw add 200 deny all from lan_1 to any<br>ipfw add 201 deny all from lan_2 to any<br><br>на линуксе куда проще сделать<br>iptables -A FORWARD -s lan_1 -d lan_2 -j ACCEPT<br>iptables -A FORWARD -s lan_2 -d lan_1 -j ACCEPT<br>iptables -A FORWARD -j DROP<br> https://www.opennet.ru/openforum/vsluhforumID1/83221.html#5 Tue, 09 Dec 2008 09:02:41 GMT &gt;&gt;&gt;программным путем этого можно достичь если лишить юзера админских прав на его <br>&gt;&gt;&gt;компе. если сетка офисная и вы сисадмин -это естественное и правильное <br>&gt;&gt;&gt;решение. включая отключение возможности загрузки компа через иные носители. <br>&gt;&gt;<br>&gt;&gt;А как это достичь средствами фаервола? <br>&gt;<br>&gt;Вы серьезно думаете что какие либо настройки на файрволе помешают произвольному <br>&gt;компьютеру в сети постаивить на сетевой интерфейс произвольное значение мак+ип? <br><br>Все что мне нужно сейчас, так это забанить весь свободный диапазон IP адрессов, так как юзера меняют их как только я начинаю ограничивать им скорость через трубу. <br>Нужно заблокировать всю внутреннюю сеть, потом добавить только определенные машины. <br>Это очень примитивно, но даст кое-какое время на поиск более менее правильного солюшена. <br>Каким образом можно будет в дальнейшем ужесточить привязку? Бегать узнавать МАК-и сетевух как-то не оч. удобно так же как и ставить VPN<br>&gt;<br>&gt;это сделать легко. <br>&gt;man ipfw <br><br>А нельзя ли чуток поконкретней? Я с ФриБСД только https://www.opennet.ru/openforum/vsluhforumID1/83221.html#4 Tue, 09 Dec 2008 08:50:51 GMT &gt;&gt;программным путем этого можно достичь если лишить юзера админских прав на его <br>&gt;&gt;компе. если сетка офисная и вы сисадмин -это естественное и правильное <br>&gt;&gt;решение. включая отключение возможности загрузки компа через иные носители. <br>&gt;<br>&gt;А как это достичь средствами фаервола? <br><br>Вы серьезно думаете что какие либо настройки на файрволе помешают произвольному компьютеру в сети постаивить на сетевой интерфейс произвольное значение мак+ип?<br><br>&gt;Задача в принципе оч. проста. Забанить <br>&gt;весь диапазон IP внутренней сети и в правилах написать только те <br>&gt;которые нужно <br><br>это сделать легко.<br>man ipfw<br><br> https://www.opennet.ru/openforum/vsluhforumID1/83221.html#3 Tue, 09 Dec 2008 08:13:42 GMT &gt;программным путем этого можно достичь если лишить юзера админских прав на его <br>&gt;компе. если сетка офисная и вы сисадмин -это естественное и правильное <br>&gt;решение. включая отключение возможности загрузки компа через иные носители. <br><br>А как это достичь средствами фаервола? Задача в принципе оч. проста. Забанить весь диапазон IP внутренней сети и в правилах написать только те которые нужно<br> https://www.opennet.ru/openforum/vsluhforumID1/83221.html#2 Fri, 05 Dec 2008 16:32:28 GMT &gt;лимит скорости 128К. Остальные 10 нужно уже каждому задавать по отдельности. <br>&gt;Как сделать так чтобы юзер не мог поменять себе айпиху и юзать <br><br>man ipfw <br>там все написано<br><br>&gt;Как сделать так чтобы юзер не мог поменять себе айпиху и юзать <br><br>это делается путем подключения пользователя через оборудование поддерживающее привязку mac+ip к порту.<br><br>программным путем этого можно достичь если лишить юзера админских прав на его компе. если сетка офисная и вы сисадмин -это естественное и правильное решение. включая отключение возможности загрузки компа через иные носители.<br> https://www.opennet.ru/openforum/vsluhforumID1/83221.html#1 Fri, 05 Dec 2008 15:05:40 GMT Очень нужно! помогите плз. как правильно сделать?<br>