Router má IP 192.168.88.1
2x PC: 192.168.88.101, 192.168.88.102
Na počítačích běží virtuální stroje s IP: 192.168.88.201 a 192.168.88.202

Chci virtuálním strojům zakázat přístup na internet, chci zakázat čemukoliv z internetu zakázat přístup na tyto virtuální stroje. Komunikace v rámci LAN 192.168.88.0/24 všemi směry je povolena.

Nějak mi uniká vztah a význam source/destination address a in/out interface. Sedím na PC (z něj adminuju routerOS), ale měl bych to asi "chápat" z hlediska, jako bych seděl "v routeru".

Pravidla pro virtuální stroj (kupř. 192.168.88.201)

1. Mám vytvořit pravidlo, povolující komunikaci v LAN síti? Nebo je to nadbytečné? Konkrétně (mám aktivováno):
action: accept
chain: forward
src. address: 192.168.88.201
dst. address: 192.168.88.0/24
in interface: neuvedeno
out interface: neuvedeno


2. Chci blokovat jakékoliv odchozí pakety DO internetu
action: drop (nebo reject?)
chain: forward
src. address: ??
dst. address: ??
in interface: ??
out interface: ??

Vymyslel jsem:
action: drop
chain: forward
src. address: 192.168.88.201
dst. address: neuvedeno
in interface: !gateway
out interface: !gateway


3. Chci blokovat jakékoliv možné příchozí pakety Z internetu
action: drop (nebo reject?)
chain: forward
src. address: ??
dst. address: ??
in interface: ??
out interface: ??

Tohle jsem vymyslel následovně (zatím neaplikováno):
action: drop
chain: forward
src. address: neuvedeno
dst. address: 192.168.88.201
in interface: gateway
out interface: neuvedeno

Nebo stačí na blokování čehokoliv z venku obecná pravidla (mám aplikováno)?
1.
action: drop
chain: input
src. address: neuvedeno
dst. address: neuvedeno
in interface: gateway
out interface: neuvedeno
2.
action: drop
chain: input
src. address: neuvedeno
dst. address: neuvedeno
in interface: pppoe-out1
out interface: neuvedeno

------------
Díky za pomoc a případné vysvětlení. Zda mám pravidla vytvořena pořádně (z virtuálních strojů se na internet nedostanu, na PC v síti i do druhého virtuálního stroje ano). Co je zbytečné a naopak doplnit.