Mikrotik Router: как ограничить комп из одной подсети доступом к компу в другой подсети?

Question

[Игорь]

Ситуация: компу 192.168.4.12 (из подсетки 192.168.4.0\24) необходимо ограничить доступ так, чтоб он имел доступ только к Интернету и хосту 192.168.130.63 (из подсетки 192.168.130.0\24). В т.ч. 192.168.4.12 не должен иметь доступа к 192.168.4.0\24 и к 192.168.130.0\24

Проблема в том, что т.к. на интерфейсе Ether4 находится сеть 192.168.4.0\24, то правило типа

ip firewall filter chain=output src.address=192.168.4.12 dst.address=192.168.4.0/24 action=drop

Просто не будет работать

Я так понимаю, нужно создать какой-то VLAN. Но как это грамотно сделать - не пойму.

RouterOS 6.x

Comments

[Seven88]

Если машине с адресом 192.168.4.12 не нужно иметь доступ в .4.0/24 подсеть, то почему бы не использовать на этой машине другую подсеть, а на микротике разрулить правилами?

Либо на коммутаторе порт, к которому подключена машина 192.168.4.12, вынести в отдельный VLAN, и на микротике указать два этих VLANA. Миктротик будет видеть и хост 192.168.4.12 и остальные хосты в подсети .4.0/24. Ну а далее разрулить правилами файервола.

Answer 1

[Игорь]

Решением оказался вариант, описанный @Seven88 в комментарии:

Если машине с адресом 192.168.4.12 не нужно иметь доступ в .4.0/24 подсеть, то почему бы не использовать на этой машине другую подсеть, а на микротике разрулить правилами?

Answer 2

[Dexsoonaris]

Добрый день
Роутер не может обрабатывать запросы с 192.168.4.12 в сети 192.168.4.0 так как трафик до него доходить не будет).
Соответственно как вариант сделать подключение этого клиента посредством туннеля (PPPoE и т.д.).

Answer 3

[cmnx]

Здравствуйте. Вы можете настроить изоляцию адресов с помощью Route Rules (IP-Routes-Rules).
Разрешить только нужные адреса, остальные - в unreachable.