[DaDe]

Добрый день.

 

Стоит RB750, на нем 1-WAN, 2-master, 3-4 slave в них входят компы из подсети 192.168.0.0/24

В 5 порт воткнут кабель из другой организации у которой тоже подсеть 192.168.0.0/24

 

Хочется на 5м порту разрешить доступ только одно компьютера по mac в основную сеть.

 

Хотел firewall`ом заблокировать все, кроме нужно по mac, но в режиме slave он это не позволит сделать.

Можно наверное bridge сделать на 2-5 сделать и уже его фильтром заблокировать.

 

Подскажите, если не сложно, как правильнее это реализовать.

Заранее признателен.

[myth]

static dhcp+отключить arp

[Saab95]

Хочется на 5м порту разрешить доступ только одно компьютера по mac в основную сеть.

 

Так уберите порт из бриджа или мастер порта, повесьте на порт адрес = 192.168.0.1 и нетворк = 192.168.0.100 (или какой там IP у нужного компьютера). На этом порту включите прокси-арп, и так же прокси арп включите на основном порту. Тогда компьютер сможет передавать данные в локалку не имея прямой L2 связи.

 

Естественно этот IP не должен использоваться в основной сети. Если надо IP выдавать автоматически, то создайте новый DHCP сервер на этом порту и для него пул из 1 адреса, в соответствующем окне DHCP сделайте привязку по маку этого компьютера.

[DaDe]

Saab95

Спасибо, действенный вариант. Сам бы не додумался.

Может еще подскажите, при такой схеме есть проблема с разрешением имен с помощью NETBIOS. Есть варианты решения этой проблемы или нет.

[myth]

просто по ip почему нельзя сходить?

[Saab95]

Может еще подскажите, при такой схеме есть проблема с разрешением имен с помощью NETBIOS. Есть варианты решения этой проблемы или нет.

 

Попробуйте, может и заработает.

[DaDe]

просто по ip почему нельзя сходить?

 

Нет, это не такая уж и проблема, по ip все работает как надо. Я так понимаю, что в этой схеме режется мультикаст.

[Saab95]

Конечно, широковещательные запросы не пройдут.