題 MikroTik路由器:如何禁止一台PC的互聯網訪問?


我已將2台PC(PC-1和PC-2)連接到我的MikroTik hEX(RB750Gr3)。

我想要 禁止上網 僅適用於PC-2(PC-1和其他連接設備應具有互聯網訪問權限)。

但我希望能夠從PC-1連接到PC-2,反之亦然(例如:在PC-2上運行一些服務器,我希望從PC-1可以訪問該服務器)。換句話說:對於PC-2,僅允許訪問LAN。這該怎麼做?

謝謝你的回答。


2
2018-03-29 06:29


起源


嗨,你有沒有能夠檢查答案標記為接受? - Efren
當然,完成了。 - Lukas


答案:


這幾乎可以直接轉換為防火牆規則:

/ip firewall filter {

  • 允許從PC-2到LAN:

    add chain=forward src-address=<PC2_IP> dst-address=<LAN_SUBNET> action=accept
    
  • 否認從PC-2到其他地方:

    add chain=forward src-address=<PC2_IP> action=reject
    

哪個也可以組合:

  • 否認從PC到 -LAN:

    add chain=forward src-address=<PC2_IP> dst-address=!<LAN_SUBNET> action=reject
    

}

這裡<LAN_SUBNET>應該是您想要允許的前綴,例如 192.168.88.0/24 對於IPv4規則,或 2001:db8:abcd:0::/64 對於IPv6。

規則檢查從上到下進行,直到第一次匹配為止,因此請確保規則在“允許建立”之後但在任何“允許所有內容”規則之前進行。

注意: 在同一子網內,始終允許訪問,因為通信僅通過內置交換機,並且不會到達操作系統。 (儘管如果需要,RouterOS允許覆蓋 - 在 /interface ethernet switch rule,您還可以找到將數據包從PC-2重定向到操作系統的選項。但是,通常最好假設子網內流量未經過濾。)


3
2018-03-29 06:41



對不起,遲到的回复,效果很好。謝謝。 - Lukas


除了@grawity所說的,請確保使PC-2的DHCP租約靜態。您還必須確定威脅級別。如果技術熟練的人使用PC-2,那麼您將希望阻止路由器從廣播中自動添加ARP,並將DHCP服務器設置為 Add ARP for leases。這將阻止他們使用靜態IP繞過。

現在我考慮一下,更簡單的解決方案就是根據MAC地址進行過濾:

/ip firewall filter add chain=forward src-mac-address=XX:XX:XX:XX:XX:XX dst-address=!X.X.X.X/XX action=reject

3
2018-04-09 23:43



我喜歡基於MAC地址的解決方案。謝謝你的回答!我很感激。 - Lukas
基於MAC地址的過濾也可以由技術熟練的用戶容易地繞過。 - bcs78
@ bcs78這是真的;這只會讓它變得更難。在我知道如何欺騙MAC之前,我知道如何設置靜態。 - Duncan X Simpson