Запрет доступа в интернет на маршрутизаторах Mikrotik

Чтобы запретить доступ в интернет определенным ip-адресам во внутренней сети, необходимо в настройках маршрутизатора нажать «IP» -> «Firewall«, во вкладке «Filter Rules» добавить новые правила нажав «Add New» или «+«.

В открывшемся окне указать следующие основные параметры:
Chain: forward
Src. Address: например ip адрес 192.168.88.200 или подсеть 192.168.88.240/29 которым необходимо запретить доступ в интернет и разрешить доступ во внутренней сети. Вместо IP можно указать MAC-адрес в Src. MAC Address.
Dst. Address: например 192.168.88.0/24 (маска подсети /24 означает диапазон 192.168.88.1 до 192.168.88.254)
Action: accept
Это правило разрешает хождение пакетов к указанному диапазону ip (Dst. Address), то есть во внутренней сети.
Также во вкладке «IP» — «DHCP Server» — «Leases», если в правилах используется IP, необходимо статически зарезервировать IP адреса к MAC адресам компьютеров, для которых прописаны правила в фаерволе чтобы они получали по DHCP один и тот же IP.

Следующее правило запрещает для указанного IP, MAC-адреса или подсети весь остальной трафик который не указан в разрешающих правилах.
Chain: forward
Src. Address: или Src. MAC Address: тот же что и в разрешающем правиле
Action: drop

В списке правил фаервола также необходимо убедится что разрешающие правила находятся перед запрещающими.
Все.

Добавить комментарий