Я подключил 2 компьютера (ПК-1 и ПК-2) к своему MikroTik hEX (RB750Gr3).
Я хочу запретить доступ в Интернет только для ПК-2 (ПК-1 и другие подключенные устройства должны иметь доступ в интернет).
Но я хочу иметь возможность подключения с ПК-1 на ПК-2 и наоборот (например: на ПК-2 работает какой-то сервер, и я хочу, чтобы этот сервер был доступен с ПК-1). Другими словами: для ПК-2 разрешить доступ только для локальной сети. Как это сделать?
Спасибо за ответ.
В дополнение к тому, что сказал @grawity, обязательно сделайте аренду DHCP в PC-2 статической. Вы также должны определить уровень угрозы. Если ПК-2 используется специалистом, обладающим техническими знаниями, вам нужно запретить маршрутизатору автоматически добавлять ARP из широковещательных рассылок и настроить DHCP-сервер на Add ARP for leases . Это не позволит им использовать статический IP для обхода.
Теперь, когда я думаю об этом, более простым решением будет просто отфильтровать по MAC-адресу:
/ip firewall filter add chain=forward src-mac-address=XX:XX:XX:XX:XX:XX dst-address=!X.X.X.X/XX action=reject
Это может быть переведено почти напрямую в правила брандмауэра:
/ip firewall filter {
разрешить с ПК-2 в ЛВС:
add chain=forward src-address=<PC2_IP> dst-address=<LAN_SUBNET> action=accept
отказать от ПК-2 везде:
add chain=forward src-address=<PC2_IP> action=reject
Которые также можно комбинировать:
Отказать от ПК, чтобы не- LAN:
add chain=forward src-address=<PC2_IP> dst-address=!<LAN_SUBNET> action=reject
}
Здесь <LAN_SUBNET> должен быть префикс, который вы хотите разрешить, например, 192.168.88.0/24 для правила IPv4 или 2001:db8:abcd:0::/64 для IPv6.
Проверка правил идет сверху вниз до первого совпадения, поэтому убедитесь, что правило идет после "разрешить установление", но до того, как могут появиться любые правила "разрешить все".
Примечание. В пределах одной и той же подсети доступ всегда будет разрешен, поскольку связь осуществляется только через встроенный коммутатор и не достигает ОС. (Хотя RouterOS позволяет переопределить это, если необходимо - в /interface ethernet switch rule , вы можете найти опцию для перенаправления пакетов с ПК-2 в ОС. Однако, как правило, лучше предположить, что трафик внутри подсети не фильтруется.)