Как через Mikrotik запретить всем лазить на комп?

Question

[Roc27]

Здравствуйте.
Имеется сеть с ip-адресами 192.168.1.0. В качестве маршрутизатора используется Mikrotik.
Мне надо 1 компьютер спрятать от всех кроме пары людей.
Для этого я подключил его не в коммутатор, как все остальные ПК, а прям в сам Микротик. Я посчитал, что подключенный ПК к коммутатору микротик не сможет "защитить", а если пакеты будут бегать прямо через сам микротик, то он вполне может заблокировать доступ к этому ПК.
Для начала решил попробовать просто закрыть его от всех.
Добавляю правило в фаерволе МТ:
Chain: forward
Dst. Address: 192.168.1.22
Action: drop.
И ничего не происходит. Все как имели доступ к нему, так и имеют.
Пробовал вместо Dst. Address настраивать прям интерфейс, к которому он подключен, но это все равно не дало никаких результатов.
Подскажите пожалуйста, как правильно настроить.

Comments

[rionnagel]

Выложить текущие настройки микротика для нетелепатов.

[theurs]

надо вывести порт в который воткнут этот комп из бриджа и настроить там отдельные адреса. после этого можно будет фаирволом рулить

Answer 1

[Kontrra]

Дай другой подсеть и думаю этого будет достаточно в пределах небольшой организации. Ну либо используй vlan.

Comments

[Roc27]

Перевел ПК в другую сеть, в фильтрах дропаю все соединения кроме определенных IP.
То что мне нужно.

Answer 2

[rPman]

в микротике vlan нет? выделаешь отдельную подсеть для себя, настраиваешь nat в нее из интернета и сидишь в своей песочнице

Comments

[Roc27]

Надо 1 компьютер изолировать от всех кроме 2х других.
При этом на изолированном компьютере не должно быть и интернета.
На всех остальных компьютерах никаких ограничений нет, но только двое из всех могут зайти на изолированный комп.
Через фильтры это не сделать?

[rPman]

опс если есть машины в сети к которым изоляция не должна применяться то 'ой', правильная реализация - настраивайте фаервол на своей машине а не на микротике

роутер это больше про заграждение между компами в локальной сети и внешней, изоляция внутри локалки только вланами, но она как физическое разделение, между вланами можно конечно настраивать перенаправления портов через роутер (т.е. чтобы подключиться компам между подсетями нужно будет подключиться к порту на роутере который перекинет подключение дальше

[Diman89]

Можно порт микрота убрать из бриджа и сделать отдельную сеть уже на нем, но суть от этого не изменится + подозреваю, что для ТС так будет даже проще

[Viktor]

Закрыть
137/TCP,UDP
138/TCP,UDP
139/TCP,UDP
445/TCP,UDP

[Roc27]

Diman89, можно поподробнее?)
Убрать из бриджа, назначить ip адрес другого диапазона и в Routes настроить маршрут нужных компов до блокируемого?

[Diman89]

Roc27, в маршрутах можно и дефолтный оставить, а в файрволле уже запретить доступы в цепочке forward получится без проблем

[Turilion]

rPman, Боже, что вы несет...

[Turilion]

Roc27, Все верно. VLAN с вашим уровнем будет сложновато. Так что это именно ваш метод:
"Убрать из бриджа, назначить ip адрес другого диапазона и в Routes настроить маршрут нужных компов до блокируемого? "

1) routes не трогайте, маршруты и так микрот добавит, как только вы пропишете адреса на интерфейсах.
2) когда назначите целевой комп в другую подсеть рулите через firewall, так как вы и делали.