MikroTik-Router: Wie kann ich den Internetzugang für einen PC nicht zulassen?

5903
Lukas

Ich habe 2 PCs (PC-1 und PC-2) an meine MikroTik hEX (RB750Gr3) angeschlossen.

Ich möchte den Internetzugang nur für PC-2 verbieten (PC-1 und andere angeschlossene Geräte sollten über Internetzugang verfügen).

Ich möchte aber in der Lage sein, eine Verbindung von PC-1 zu PC-2 und umgekehrt herzustellen (Beispiel: Auf PC-2 laufen einige Server, und ich möchte, dass dieser Server von PC-1 aus erreichbar ist). Mit anderen Worten: Erlauben Sie für PC-2 den Zugriff nur für LAN. Wie macht man das?

Danke für die Antwort.

2
Hallo, warst du in der Lage, die Antworten zu überprüfen, um eine als akzeptiert zu markieren? Efren vor 5 Jahren 0
Natürlich fertig. Lukas vor 5 Jahren 0

2 Antworten auf die Frage

3
grawity

Dies kann fast direkt in Firewall-Regeln übersetzt werden:

/ip firewall filter {

  • Erlaube von PC-2 zu LAN:

    add chain=forward src-address=<PC2_IP> dst-address=<LAN_SUBNET> action=accept

  • Von PC-2 zu allen anderen verweigern: 

    add chain=forward src-address=<PC2_IP> action=reject

Welche auch kombiniert werden können:

  • vom PC zum Nicht- LAN verweigern:

    add chain=forward src-address=<PC2_IP> dst-address=!<LAN_SUBNET> action=reject

}

Hier sollte <LAN_SUBNET> das Präfix sein, das Sie zulassen möchten, z. B. 192.168.88.0/24für die IPv4-Regel oder 2001:db8:abcd:0::/64für IPv6.

Die Regelüberprüfung wird bis zum ersten Treffer von oben nach unten durchgeführt. Stellen Sie daher sicher, dass die Regel nach "Zulassen festgelegt", aber vor allen möglichen "Zulassungsregeln" gilt.

Hinweis: Innerhalb desselben Subnetzes ist der Zugriff immer zulässig, da die Kommunikation nur über den integrierten Switch erfolgt und das Betriebssystem nicht erreicht. (Auch wenn RouterOS das Überschreiben ermöglicht, falls erforderlich - unter /interface ethernet switch rule, können Sie eine Option finden, um Pakete von PC-2 auch an das Betriebssystem umzuleiten. Im Allgemeinen ist jedoch davon auszugehen, dass der Intra-Subnetz-Verkehr ungefiltert ist.)

Entschuldigung für die späte Antwort, funktioniert super. Vielen Dank. Lukas vor 5 Jahren 0
3
Duncan X Simpson

Vergewissern Sie sich zusätzlich zu den Angaben von @grawity, dass die DHCP-Lease von PC-2 statisch ist. Sie müssen auch die Bedrohungsstufe bestimmen. Wenn PC-2 von technisch versierten Personen verwendet wird, sollten Sie verhindern, dass der Router ARP automatisch von Broadcasts hinzufügt, und den DHCP-Server auf einstellen Add ARP for leases. Dies verhindert, dass sie eine statische IP-Adresse zum Umgehen verwenden.

Jetzt, wo ich darüber nachdenke, wäre die einfachere Lösung, einfach nach MAC-Adresse zu filtern:

/ip firewall filter add chain=forward src-mac-address=XX:XX:XX:XX:XX:XX dst-address=!X.X.X.X/XX action=reject
Ich mag die Lösung basierend auf der MAC-Adresse. Danke für die Antwort! Ich schätze es. Lukas vor 7 Jahren 0
Filterung auf der Basis von MAC-Adressen könnte auch von technisch versierten Benutzern leicht umgangen werden. bcs78 vor 5 Jahren 0
@ bcs78 Das stimmt. das macht es nur schwieriger. Ich wusste, wie man einen statischen Wert einstellt, bevor ich einen MAC fälschen konnte. Duncan X Simpson vor 5 Jahren 0

Verwandte Probleme