2

Я подключил 2 компьютера (ПК-1 и ПК-2) к своему MikroTik hEX (RB750Gr3).

Я хочу запретить доступ в Интернет только для ПК-2 (ПК-1 и другие подключенные устройства должны иметь доступ в интернет).

Но я хочу иметь возможность подключения с ПК-1 на ПК-2 и наоборот (например: на ПК-2 работает какой-то сервер, и я хочу, чтобы этот сервер был доступен с ПК-1). Другими словами: для ПК-2 разрешить доступ только для локальной сети. Как это сделать?

Спасибо за ответ.

2 ответа2

3

В дополнение к тому, что сказал @grawity, обязательно сделайте аренду DHCP в PC-2 статической. Вы также должны определить уровень угрозы. Если ПК-2 используется специалистом, обладающим техническими знаниями, вам нужно запретить маршрутизатору автоматически добавлять ARP из широковещательных рассылок и настроить DHCP-сервер на Add ARP for leases . Это не позволит им использовать статический IP для обхода.

Теперь, когда я думаю об этом, более простым решением будет просто отфильтровать по MAC-адресу:

/ip firewall filter add chain=forward src-mac-address=XX:XX:XX:XX:XX:XX dst-address=!X.X.X.X/XX action=reject
3

Это может быть переведено почти напрямую в правила брандмауэра:

/ip firewall filter {

  • разрешить с ПК-2 в ЛВС:

    add chain=forward src-address=<PC2_IP> dst-address=<LAN_SUBNET> action=accept
    
  • отказать от ПК-2 везде:

    add chain=forward src-address=<PC2_IP> action=reject
    

Которые также можно комбинировать:

  • Отказать от ПК, чтобы не- LAN:

    add chain=forward src-address=<PC2_IP> dst-address=!<LAN_SUBNET> action=reject
    

}

Здесь <LAN_SUBNET> должен быть префикс, который вы хотите разрешить, например, 192.168.88.0/24 для правила IPv4 или 2001:db8:abcd:0::/64 для IPv6.

Проверка правил идет сверху вниз до первого совпадения, поэтому убедитесь, что правило идет после "разрешить установление", но до того, как могут появиться любые правила "разрешить все".

Примечание. В пределах одной и той же подсети доступ всегда будет разрешен, поскольку связь осуществляется только через встроенный коммутатор и не достигает ОС. (Хотя RouterOS позволяет переопределить это, если необходимо - в /interface ethernet switch rule , вы можете найти опцию для перенаправления пакетов с ПК-2 в ОС. Однако, как правило, лучше предположить, что трафик внутри подсети не фильтруется.)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .