>
>ну вы блин, даёте.
>Если уж вы поставили ПППоЕ, то юзеров в интернет надо пускать не
>с локального интерфейса, а только с интерфейса PPP. пересмотрите правила на
>своём фаерволе. Совершенно верно.
Но есть еще более надежный и лучший вариант. Правда прийдется потратится на управляемый свитч. Речь иде о технологии VLAN. Вкратце: на свиче пакетам езернет приделваются тэги (максимальный размер пакета при этом уведичивается на 4 байта, что плохо воспринимается некоторыми древними сетевухами.) Для ее поддержки надо иметь управляемый свич, который умеет тэгировать трафик - это называется 802.1q - и включить поддержку виланов в линуксе (модуль ядра будет называться 8021q).
После проведения подготовительных мероприятий (покупка и установка свича, настройка на нем виланов) вы при помощи команды vconfig поднимаете у себя интерфейсы на каждый вилан:
bash-3.00# vconfig add eth0 2
Added VLAN with VID == 2 to IF -:eth0:-
Если после этого запустить команду ifconfig, то вы увидите кроме основного интерфейса еще ваш вилан:
eth0.2 Link encap:Ethernet HWaddr 00:0E:A6:12:34:56
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Вид имени вилана настраивается - вы можете например сделать так, чтобы он выглядел как vlan2
НЕ ИСПОЛЬЗУЙТЕ ВИЛАН 1 - это может вызвать ряд проблем.
После создания виланов каждый пользователь сажается в отдельный вилан. Допустим, мы используем сетку 192.168.5.x
Тогда:
Пользователь 1:
network 192.168.5.0/30
router 192.168.5.1
client 192.168.5.2
broadcast 192.168.5.3
Пользователь 2:
network 192.168.5.4/30
router 192.168.5.5
client 192.168.5.6
broadcast 192.168.5.7
И так далее.
Результат:
1. весь трафик идет через роутер и может быть просчитан.
2. Клиенты изолированы друг от друга
3. Так как тегирует трафик свич, то пользователь не имеет физической возможности притвориться кем-то другим.
Недостатки:
1. Нужен управляемый свич (см. например DLink 3226 - г еще то, но гораздо дешевле, чем Cisco)
2. Большой расход адресного пространства - при использовании частных адресов это абсолютно фиолетово.