МикроТик роутер: Как запретить доступ в интернет для одного ПК?

5876
Lukas

Я подключил 2 компьютера (ПК-1 и ПК-2) к своему MikroTik hEX (RB750Gr3).

Я хочу запретить доступ в Интернет только для ПК-2 (ПК-1 и другие подключенные устройства должны иметь доступ в интернет).

Но я хочу иметь возможность подключения с ПК-1 на ПК-2 и наоборот (например: на ПК-2 запущен какой-то сервер, и я хочу, чтобы этот сервер был доступен с ПК-1). Другими словами: для ПК-2 разрешить доступ только для локальной сети. Как это сделать?

Спасибо за ответ.

2
Привет, вы смогли проверить ответы, чтобы отметить один из них как принятый? Efren 6 лет назад 0
Конечно, сделано. Lukas 6 лет назад 0

2 ответа на вопрос

3
grawity

Это может быть переведено почти напрямую в правила брандмауэра:

/ip firewall filter {

  • разрешить с ПК-2 в ЛВС:

    add chain=forward src-address=<PC2_IP> dst-address=<LAN_SUBNET> action=accept

  • отказать от ПК-2 везде: 

    add chain=forward src-address=<PC2_IP> action=reject

Которые также можно комбинировать:

  • Отказать от ПК, чтобы не- LAN:

    add chain=forward src-address=<PC2_IP> dst-address=!<LAN_SUBNET> action=reject

}

Здесь <LAN_SUBNET> должен быть префикс, который вы хотите разрешить, например, 192.168.88.0/24для правила IPv4 или 2001:db8:abcd:0::/64для IPv6.

Проверка правил идет сверху вниз до первого совпадения, поэтому убедитесь, что правило идет после «разрешить установку», но перед любыми правилами «разрешить все».

Примечание. В пределах одной и той же подсети доступ всегда будет разрешен, поскольку связь осуществляется только через встроенный коммутатор и не достигает ОС. (Хотя RouterOS позволяет переопределить это, если необходимо - в разделе /interface ethernet switch rule, вы также можете найти опцию перенаправления пакетов с ПК-2 на ОС. Однако обычно лучше предположить, что трафик внутри подсети не фильтруется.)

Извините за поздний ответ, отлично работает. Спасибо. Lukas 6 лет назад 0
3
Duncan X Simpson

В дополнение к тому, что сказал @grawity, обязательно сделайте аренду DHCP в PC-2 статической. Вы также должны определить уровень угрозы. Если ПК-2 используется специалистом, обладающим техническими знаниями, то вы хотите запретить маршрутизатору автоматически добавлять ARP из широковещательных рассылок и установить DHCP-сервер на Add ARP for leases. Это не позволит им использовать статический IP для обхода.

Теперь, когда я думаю об этом, более простым решением будет просто отфильтровать по MAC-адресу:

/ip firewall filter add chain=forward src-mac-address=XX:XX:XX:XX:XX:XX dst-address=!X.X.X.X/XX action=reject
Мне нравится решение на основе MAC-адреса. Спасибо за ответ! Я ценю его. Lukas 7 лет назад 0
Фильтрация на основе MAC-адресов также может быть легко обойдена технически квалифицированным пользователем. bcs78 6 лет назад 0
@ bcs78 Это правда; это только усложняет. Я знал, как установить статический сигнал, прежде чем я знал, как подделать MAC. Duncan X Simpson 6 лет назад 0

Похожие вопросы