NAT как заблокировать доступ клиентских машин друг к другу

для начала поместить клиентов в разные физические сети

Купить управляемый свич с поддержкой vlan или если клиентов немного, понатыкать в роутер сетевух и воткнуть каждого в свою сетевуху.

на роутере никак, потому-что клиенты у тебя находяться в однойм l2 сегменте.
можно тоьлко посадить их на умный свитч, где и огроничивать доступ port-security.

Да нет вот как раз вариант с умным свичем не катит потому как часть клиентов WiFi, а часть по кабелю, как вариант по vlan раскидать насколько я понимаю подходит только если скажем на один порт каталиста по юзеру (провода), а если клиенты WiFi то не выходит... так как на одной точке может 100 чел сидеть... и все на одном порту на свиче...

WiFi-роутер должен понимать vlan'ы и тегированный трафик, "умное железо" самый Ъ вариант, так что кури маны по настройке таких сетей.

дак вот в качестве роутера будет сервак с Linux.... в какую сторону то курить? IPtables это можно сделать? запретить ходить LAN клиентам по внутренней сети?

> в какую сторону то курить?

В сторону виланов на Linux.

Тебе надо на рутере (он же всех в интернет выпускает?) наделать виланов, в т.ч. и на Wi-Fi и засунуть в них каждого клиента. На свиче эти виланы разделать под каждый порт.

Это долго и муторно (и я точно не знаю как), лучше использовать умное железо, как посоветовали выше.

http://www.citforum.ru/nets/protocols2/index.shtml

Почитай внизу теорию.

>Тебе надо на рутере (он же всех в интернет выпускает?) наделать
>виланов,

ну да такая схема может быть... но как ее применить касательно WiFi, у меня на точках (Cisco 1200) можно сделать два vlan например:

VLAN1: сама точка Ethernet port.
VLAN2: SSID точки, радио порт... и все юзеры кто садятся на этот SSID получаются в одном вилане.

к томуже если юзеров будет например тысяча в сети или две тысячи? мне кажется городить виланы немного не правильно.

на аппаратных роутерах типа Nomadix есть просто пункт в меню типа (Subscriber to Subscriber block) и все юзеры подключенные на один его порт находящиеся в одном вилане не могут видеть друг друга.

поэтому наводит на мысль что тут решение есть на уровне файервола...

Дак вроде на Cisco 1200 (если это Aironet) есть Access List'ы, может ими и порубить трафик (разрешить только ip-сервера...

>поэтому наводит на мысль что тут решение есть на уровне файервола...

Если вы сможете заставить траффик от пользователя к пользователю идити через роутер, то решение на уровне файервола есть, но как я понял у вас трафик от пользователя к пользователю обрабатывается самим свичем, в роутер он не попадает.

> Если вы сможете заставить траффик от пользователя к пользователю идити через роутер, то решение на уровне файервола есть, но как я понял у вас трафик от пользователя к пользователю обрабатывается самим свичем, в роутер он не попадает.

Некоторые провайдеры делают через pppoe, т.е. попробовать vpn

/s/т.е./или

Умное железо и RADIUS-Server -- решение проблемы.

точка доступа с поддержкой RADIUS + свич с такой же поддержкой + централизованное WPA-шифрование.

>Дак вроде на Cisco 1200 (если это Aironet) есть Access List'ы, может >ими и порубить трафик (разрешить только ip-сервера...

Супер! спасибо за решение!! порезал на каталисте все!! заработало! :-)