Jefferson, 
28 de setembro de 2010, 
Um cliente me pediu ontem para cortar inteiramente o acesso à internet da máquina da recepcionista. Eu já fui achando que poderia não ser possível com o hardware que eles tinham, mas por sorte todas as máquinas passam por um roteador Linksys WRT54G2 que, mesmo usando firmware original, permite criar regras de bloqueio por MAC Address. Para minimizar o efeito negativo do bloqueio sobre o humor da recepcionista eu tive que criar duas regras: uma bloqueando o acesso das 7 às 11h55min e outra bloqueando das 13 às 17h. Isso para que ela pudesse pelo menos usar na hora do almoço. Também bloqueei apenas de Segunda a Sexta.
Muito melhor que nada, mas ainda achei limitado. Por alguma razão eu não consegui criar regras diferentes para MACs diferentes. Você coloca os MACs em uma lista e esta lista é aplicada a todas as regras.
Liked by: Luciano B. M.
Ygor, o "bloqueio da internet" funciona apenas para a porta WAN. Na porta WAN desse roteador está o modem ADSL. A máquina da recepção, por mais estranho que pareça, também é o servidor de arquivos da empresa, mas com essa distinção entre WAN e LAN bloquear a recepcionista não impede as operações locais.
Eu não sei se entendi bem sua questão, mas me parece que você está pensando em uns roteadores idiotas que eu já vi, que tem bloqueio por MAC, mas não fazem distinção entre LAN e WAN.
Vários outros roteadores permitem controlar o acesso à porta WAN. Acho que isso é mais comum naqueles baseados em Linux, como OIWTech OIW-2411APG e o OvisLink WL-5460AP v2. Todos os roteadores que suportam o firmware dd-wrt provavelmente tem essa funcionalidade também, mas não tenho certeza.
Por outro lado, o Linksys WRK54G só tem controle por MAC para o acesso a ele e via wireless. Se você quiser restringir o acesso à rede de uma máquina estranha plugada no switch, também não pode.
Eu acho que vou começar a fazer uma lista dos roteadores que tem essa funcionalidade e os que não tem.
Ygor, o pfsense usa o Packet Filter e IPFW. É baseado em FreeBSD e graças a sensatez de seus criadores não tem iptables
Dá pra usar um Mikrotik embarcado em uma RB750. Processador 300 ou 400 mhz (nao lembro), 32 mb ram, 5 placas ethernet. Dá pra fazer filtros de todo tipo, fechar vpn, hotspot, pppoe. Muito bom! Só não tem wireless mas existem outras routerboards (http://www.routerboard.com) que tem slot minipci para cartao e dá pra fazer. Fica mais caro. Mas fica beeem melhor.
Outro roteador "popular" que não tem controle da WAN é o D-LINK DI-524. Ele é um tiquinho mais inteligente que o Linksys WRK54G, pois as regras não fazem distinção entre cabeado e wireless. Mas também não fazem distinção entre WAN e LAN, tornando-o inútil para resolver o problema deste post.