2台のPC(PC-1とPC-2)をMikroTik hEX(RB750Gr3)に接続しました。
私はインターネットアクセスを許可しないをPC-2のみにしたい(PC-1と他の接続されたデバイスはインターネットアクセスが必要です).
しかし、PC-1からPC-2に、またはその逆に接続できるようにしたい(たとえば、PC-2でサーバーを実行していて、そのサーバーにPC-1からアクセスできるようにしたい)。言い換えると、PC-2の場合、LANに対してのみアクセスを許可します。これを行う方法?
ご回答ありがとうございます。
これは、ファイアウォールルールにほぼ直接変換できます。
/ip firewall filter {
pC-2からLANへの許可:
add chain=forward src-address=<PC2_IP> dst-address=<LAN_SUBNET> action=accept
pC-2から他のすべての場所への拒否:
add chain=forward src-address=<PC2_IP> action=reject
組み合わせることができます:
pCからnotへの拒否-LAN:
add chain=forward src-address=<PC2_IP> dst-address=!<LAN_SUBNET> action=reject
}
ここで、<LAN_SUBNET>は、許可するプレフィックスである必要があります。例: 192.168.88.0/24
IPv4ルールの場合、または2001:db8:abcd:0::/64
IPv6の場合。
ルールのチェックは最初の一致まで上から下に行われるため、ルールが「確立を許可」の後で、「すべてを許可」のルールの前に行われるようにしてください。
注:通信は組み込みのスイッチのみを経由し、OSに到達しないため、同じサブネット内では常にアクセスが許可されます。 (ただし、RouterOSでは、必要に応じてそれをオーバーライドできます– /interface ethernet switch rule
、パケットをPC-2からOSにリダイレクトするオプションも見つけることができます。ただし、一般的には、サブネット内トラフィックはフィルタリングされていないものと想定するのが最善です。)
@grawityが言ったことに加えて、PC-2のDHCPリースを静的にするようにしてください。また、脅威レベルを決定する必要があります。 PC-2を技術的に熟練した人が使用している場合は、ルーターがブロードキャストからARPを自動追加しないようにし、DHCPサーバーをAdd ARP for leases
に設定する必要があります。これにより、静的IPを使用してバイパスすることが防止されます。
今考えてみると、より簡単な解決策は、MACアドレスに基づいてフィルタリングすることです。
/ip firewall filter add chain=forward src-mac-address=XX:XX:XX:XX:XX:XX dst-address=!X.X.X.X/XX action=reject