На Микротике VLAN настроены по "современной" модели - как здесь -
https://soft-setup.ru/oborudovanie/vlan-bridge-na-... - с использованием 1 (одного) бриджа.
ether1, 2 - WAN порты
ether3 - тегированный порт для VLAN30, 100
ether4 - тегированный порт для коммутатора с VLAN40, 100
ether6 - access порт (данный порт будет предоставляться стороннему лицу, поэтому хочу закрыть ему доступ).
Bridge:
Bridge1_vlan
Примеры правил в бридже:
Bridge VLAN 120
tagged: bridge1_vlan
Untagged: ether6
Bridge VLAN 40
tagged: ether3
ether4
bridge1_vlan
Bridge VLAN 100
tagged: ether3
ether4
bridge1_vlan
В портах бриджа прописаны PVID на интерфейсах.
Все работает нормально, на Микротике есть транковые порты (которые передает тегированные вланы в другой коммутатор на порты доступа) так и порт доступа на самом микроте (ether6). В общем трафик "бегает" по всем направлениям.
Проблема в том, что не получается изолировать созданные вланы между собой.
Допустим, мне нужно изолировать доступ из access порта микротика ether6 (в котором крутиться 120vlan), чтобы не было доступа до 40, 100 vlan.
Да, я понимаю, что по указанной выше схеме все вланы заводятся в один бридж и соответственно поэтому они видят друг друга. Но ведь так сейчас многие статьи рекомендуют разводить на виланы, а вот как изолировать между собой ни в одной статье не говорится...
Пробовал создавать правила в IP - Firewall, для цепочки Forward, которое бы дропало (DROP) Src.Address = 10.10.120.0/30 Dst. Address = 10.10.40.0/24 и тд, но не помогает, как пинги шли - так и идут, ресурсы из 40, 100 вилана доступны для 120 вилана, также и сканер сети выдает все на блюдечке.
В какую сторону копать?
P.S. IP - Routes - Rules - не срабатывают кстати тоже.