Извращенцы
Вы бы еще vpn подняли для разграничения
Не легче-ли для нужных компьютеров определить по второму ip-адресу, например:
Юзеру в 192.168: 172.16.1.*/24
Серверу в 10.0: 172.16.2.*/24
На маршрутизаторах соответственно прописать маршруты и фильтры, содиняющие только указанные ip адреса.
Ну и юзер должен обращаться к серверу по другому ip адресу.
При желании для этого можно использовать статичные DNS записи (можно даже завести отдельную зону, например static.local), у юзера и сервера ведь разные DNS сервера?
Собственно, если доступ из 10 сети к юзеру ограничивать не требуется, то можно не прописывать второй ip для сервера.
Ну, и возможно потребуются статические маршруты, чтобы клиент отправлял пакеты с нужного интерфейса. Хотя когда оба ip на одном интерфейсе это, возможно, и не потребуется.
У меня сейчас вообще забавная схема работает - от клиента до сервера пакеты идут через маршрутизатор, а возвращаются напрямую
. Без маршрутов, оба ip сервера на одном фейсе.
Хотя, при двух ip адресах на одном фейсе может возникнуть неоднозначность при обработке пакета маршрутизатором и применении фильтров.
Поэтому правильнее будет добавить пользователю сетевушку, дать ей ip из сети 172.16.1.*/24, прописать маршрут до сервера через эту сетевушку.
Есть вариант еще проще - Юзеру вместо 192.168 присваивается 172.16.1, и он работает исключительно с этого ip. Маршруты на маршрутизаторах всеравно потребуются, но зато не потребуется локальный маршрут.
P.S. Извиняюсь за сумбурность. Понравившийся вариант можем разобрать подробнее.
