Доброго времени суток, форумчане! Такое дело, надо отключить интернет на всех остальных компьютерах(~ 20 штук) кроме трех, но оставляя нетронутой Локальную сеть. Какие есть варианты? Спасибо!

Как организован выход в интернет? На клиентах статические адреса или DHCP сервер раздает?

Telepuzik,
С модема на Хаб.

С модема на Хаб. »
Вывод ipconfig /all с любого клиентского компьютера покажите.

Telepuzik,
Сорри, такое вообще можно показывать, неопасно?

SBSA, можно и даже нужно, ибо телепаты потянулись в южные края.

Сорри, такое вообще можно показывать, неопасно? »
Нет не опасно у Вас же сеть закрыта модемом и внутри используется частная ip адресация (http://ru.wikipedia.org/wiki/%D0%A7%D0%B0%D1%81%D1%82%D0%BD%D1%8B%D0%B9_IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81) или нет? Главное не светить свой внешний адрес.

topotun32, Я имел в виду не опасно показывать эти данные? =)

SBSA, какой у Вас "модем"? (я подозреваю, что это скорее всё-таки маршрутизатор, а не модем)
Обычно доступ в интернет закрывают именно настройками маршрутизатора

P.S. Публиковать сведения о локальных интерфейсах совершенно безопасно. Ими может воспользоваться только человек внутри Вашего локального сегмента. Но если кто-то уже пробрался в Ваш локальный сегмент, он может сам выполнить нужную команду. :wink:

Telepuzik, Не знаю, я только вчера увидел эту сеть. Эта сеть организации. Как узнать, что ip адресация частная и что не буду светить свой внешний адрес?

Как узнать, что ip адресация частная и что не буду светить свой внешний адрес? »
Я Вам дал ссылку где описаны диапазоны частных сетей посмотрите входит ли Ваша сеть в данный диапазон или нет.

AMDBulldozer,
D-Link DIR-615 его соединили с Хабом той же компании.


Вот
Eror

SBSA, просто для информации (это не имеет отношения к Вашей проблеме): адреса для подсети 8.8.8.0/24 выбраны крайне неудачно. Для приватных сетей RFC1918 определяет три диапазона адресов: 10.0.0.0/8, 172.16.0.0/12 (у Вас он тоже используется) и 192.168.0.0/16.

AMDBulldozer, Не знаю, все это уже было. А в чем плох этот адрес?

SBSA,
блокируйте доступ к интернету через настройку DIR-615 по МАС-адресам: ADVANCED - Access Control - ... - Block All Access

http://s3.hostingkartinok.com/uploads/images/2013/05/a9292a0752c96741b3b6efe4faa75618.jpg (http://hostingkartinok.com)

Вот, а блокировку по МАК адресам не нашел.

Вот, что показывает при выборе MAC-фильтр http://s2.hostingkartinok.com/uploads/images/2013/05/ae5eefacf48463c638fe795a9b2e032f.jpg (http://hostingkartinok.com)

чем плох этот адрес? »

Основных недостатков два: первый состоит в том, что с компьютеров вашего локального сегмента невозможно получить доступ к узлам с адресами 8.8.8.0/24 - они будут интерпретированы как адреса локальной сети. Обычно это не представляет особой проблемы, но в Вашем случае в эту подсеть попадает популярный публичный DNS Google - 8.8.8.8.
Второй, обычно более существенный недостаток состоит в том, что в случае определенных ошибок в настройках NAT, маршрутизации, туннелей и т.д. в интернет попадает реальный IP интерфейса. Если он принадлежит приватному адресному пространству, это не вызывает никаких проблем - он просто не пройдет дальше одного из нескольких первых переходов. А вот IP из публичного диапазона либо будет перехвачен брандмауэром провайдера, который расценит это как сетевую атаку, либо, если провайдер не провеяет исходящие ip, дойдет до адреса назначения, после чего этот адрес начнет слать пакеты в адрес узла, который имеет реальный IP совпадающий с вашим локальным.
Что, естественно, тоже будет расценено как сетевая атака.
Резюме: основной недостаток использования публичного IP в качестве адреса локального интерфейса сети состоит в том, что это создает не только потенциальную опасность утечки внутренних пакетов в сеть, но также возможность принятия ответных мер по отношению к предполагаемому сетевому хулигану.

Теперь по поводу Вашего вопроса:

Открываете web-интерфейс маршрутизатора, выбираете в разделе "межсетевой экран" вкладку "IP-фильтры" и дальше делаете одно из двух:
1. Если Вы хотите закрыть доступ в интернет определенным компьютерам, а всем остальным доступ разрешить, укажите адреса блокируемых компьютеров в поле "Диапазон IP-адресов; Источник" и выберите для них "Действие" DROP.
Создавайте столько правил, сколько потебуется для того, чтобы в них попали все блокируемые адреса
2. Предыдущий способ имеет существенный недостаток - злоумышленнику достаточно изменить IP чтобы получить доступ в интернет. Поэтому удобнее пойти по прямо противоположному пути - запретить доступ всем, кроме заданных IP.
Для этого делаете всё то же самое, что и в предыдущем пункте, но вместо "Действие" DROP указываете "Действие" ACCEPT.
После того как Вы добавили правила для всех компьютеров, доступ которым разрешен, добавляете в конец спика еще одно правило - для компьютеров подсети 0.0.0.0/0 выбрать "Действие" DROP.
(я не могу гарантировать, что маршрутизатор поймет такой синтаксис, поскольку нигде не указан список допустимой разрядности подсетей для интерфейса данного маршрутизатора. Но, раз у него отсутствует способ задания политики по умолчанию, очевидно должен быть альтернативный способ получить тот же самый результат)

Выше я описал способ блокировать доступ в интернет по IP. Хотя надежнее делать это по MAC-адресу. Преимуществом использования MAC-адреса является практическая невозможность его подмены - если правила разрешают доступ для компьютера с заданным MAC-адресом и этот компьютер в данный момент работает, способа проникнуть в сеть у злоумышленника уже не остается. Он не сможет установить себе MAC работающего компьютера, потому что если он это сделает, в лучшем случае, его сетевое соединение перестанет работать (потому что ethernet-коммутатор уже кэшировал номер порта, которому соответствует указанный MAC), в худшем грохнется разом весь сегмент, поскольку в одном сегменте не может быть двух интерфейсов с одинаковым MAC (чтобы меня не поправляли, заранее оговорюсь, что не имею в виду агрегацию каналов ethernet с использованием протокола 802.3ad).

Чтобы разрешить или блокировать доступ по MAC, а не по IP, выберите закладку "MAC-фиьтр" в том же меню "Межсетевой экран".

P.S. Попробуйте использовать другой браузер и проверьте, что он не блокирует сценарии javascript.

AMDBulldozer, При выборе MAC-фильтра оказывает, что можно выбрать только одно из двух(Разрешить или Запретить)http://s3.hostingkartinok.com/uploads/images/2013/05/23e19c57ed9db05b5d25d0903631ff9f.jpg (http://hostingkartinok.com). Если выбрать запретить от не выкинет из сетки?

Если выбрать запретить от не выкинет из сетки? »
Из сети не выкинет, компьютер просто перестанет получать доступ в интернет.

Если выбрать запретить от не выкинет из сетки? »

Маршрутизатор физически не может никого "выкинуть из сети". Он может только ограничить доступ к себе самому. А, ограничив доступ к себе, он одновременно заблокирует доступ в интернет, поскольку все направляемые за пределы локального сегмента пакеты проходят через него. Поэтому компьютеры чьи MAC-адреса внесены в "черный список" смогут общаться между собой и вообще с любым устройством в локальном сегменте (к примеру, с сетевым принтером), но не будут отрезаны от интернета.
Доступ к web-интерфейсу маршрутизатора с них, с большой долей вероятности, тоже станет невозможен (в зависимости от реализации - смотря в какую из очередей маршрутизатор добавляет правило).
Однако "черный список" традиционно считается не лучшим способом решения проблемы. Я уверен, что злобных хакеров у вас в организации нет. Однако, если бы они были, им достаточно было бы сменить MAC сетевой карты и они получили бы доступ в интернет (с этим можно бороться путем привязки IP к MAC адресу).
Оптимальным является использование "белого списка" при котором указываются MAC-адреса компьютеров доступ которым разрешен, а все остальные блокируются политикой по умолчанию.
Это тоже не панацея - злоумышленник сможет взять себе MAC-адрес любого компьютера из "белого листа", но только при условии, что этот компьютер в данный момент отключен.
В большинстве случаев люди обычно используют "белые листы" не из боязни хакеров, а по гораздо более прозаической причине - поддерживать актуальность "белого списка" обычно бывает легче, чем "черного". Просто потому, что он меньше (в Вашем случае 3 адреса вместо 20).