Mikrotikルーターでネットワークを分離する方法

最近、ネットワークに Mikrotikルーター を取得しました。相互に分離されているが、すべてインターネットにアクセスできる3つのネットワークを作成します。

1. PCなどの「メイン」ネットワーク.
2. ホームオートメーションデバイス/アプライアンスのネットワーク。これらのホストが他のネットワークにアクセスできないようにしたいが、メインネットワーク上の特定のホストがこのネットワーク上の特定のホストにアクセスできるようにしたい。
3. 訪問者のためのゲストネットワーク。このネットワーク上のホストにインターネットへのアクセスのみを許可し、他のネットワークから完全に分離したい。

ブリッジを使用してこれらの3つのネットワークをセットアップできました これらの手順 に従い、ルーターに付属のデフォルト構成を模倣しています。

ブリッジ間のトラフィックをブロックするファイアウォールルールを定義する必要があるようですが、ここで少し手助けが必要です。私の理解では、MikrotikファイアウォールソフトウェアはLinux iptablesに基づいています。

1. これを行うには2つの場所があるようです：/ip firewall filterのメインファイアウォール構成と/interface bridge filterのブリッジ固有のセクション。どちらを使用するのが最適ですか？それぞれの長所と短所は何ですか？

2. 私はブリッジフィルターを実験していますが、すべてのルールの横に トラフィックバーアイコン があり、見た目が良くありません。アイコンの意味の説明が見つかりません。

3. ルールはどのように設定すればよいですか？ブリッジごとに別々のチェーンの束を作成する方が管理しやすいでしょうか？もしそうなら、チェーンはどのように編成されるべきですか？

4. forwardルールを定義する必要があるようです。同様に必要なinputまたはoutputルールはありますか？

5. ブリッジ/インターフェース（つまり、インブリッジ、アウトブリッジ、WANインターフェースなど））でルールを一致させる必要がありますか？正しいですか？たとえば、メインネットワークからホームへのパケットをブロックします自動化ネットワークの場合、in-bridge = main out-bridge = home_automation action = DROPのようなルールが必要になりますか？