Answers:
这几乎可以直接转换为防火墙规则:
/ip firewall filter {
允许从PC-2到LAN:
add chain=forward src-address=<PC2_IP> dst-address=<LAN_SUBNET> action=accept
否认从PC-2到其他地方:
add chain=forward src-address=<PC2_IP> action=reject
哪个也可以组合:
拒绝从PC到非 -LAN:
add chain=forward src-address=<PC2_IP> dst-address=!<LAN_SUBNET> action=reject
}
此处<LAN_SUBNET>应该是您要允许的前缀,例如192.168.88.0/24IPv4规则或2001:db8:abcd:0::/64IPv6。
规则检查从上到下进行,直到第一次匹配为止,因此请确保规则在“允许已建立”之后但在任何“允许所有内容”规则之前进行。
注意:在同一子网内,始终允许访问,因为通信仅通过内置交换机,并且不会到达操作系统。(尽管RouterOS允许在必要时覆盖 - 在/interface ethernet switch rule,您可以找到将数据包从PC-2重定向到操作系统的选项。但是,通常最好假设子网内流量未经过滤。)
除了@grawity所说的,确保PC-2的DHCP租约是静态的。您还必须确定威胁级别。如果技术熟练的人使用PC-2,那么您将需要阻止路由器从广播中自动添加ARP,并将DHCP服务器设置为Add ARP for leases。这将阻止他们使用静态IP绕过。
现在我考虑一下,更简单的解决方案就是根据MAC地址进行过滤:
/ip firewall filter add chain=forward src-mac-address=XX:XX:XX:XX:XX:XX dst-address=!X.X.X.X/XX action=reject