RouterOS: blokování pro jedno zařízení, aby nemohlo na IP v rámci LAN
Mám tu mobil s wifi, rozchodil jsem na něm připojení k síti (prostřednictvím domácího Mikrotiku). Nechci ale, aby se nějak dostal (či připadný malware v něm) na jiné IP adresy v LAN.
- potřebuji tomu mobilu přiřadit statickou IP (klikl jsem v seznamu DHCP Serveru u mobilu na "Make static")
- potřebuji to nějak zakázat ve firewallu.
Nastavil jsem toto:
Je funkční tohle? Netuším, jak to na mobilu ověřit, že se třeba na PC v lan nejde dostat. Internet na mobilu funguje. Reject, forward, drop - prostě tomu nerozumím.
Díky
-------------
JaFiho články (wifi pro hosty) jsem četl, zkoušel a kontroloval to mnohokrát, ale prostě mi to nefunguje. Píše, že připojení k routeru/wifi je OK, ale "bez připojení k internetu". A je jedno, zda je to mobil nebo notebook.
V ramci stejne site (LAN) to pres firewall vubec nejde.
Resenim je mit pro kazde zarizeni vlastni LAN (VLAN)
Zkoušel jsem to přesně podle tohoto článku, https://pc.poradna.net/articles/1078271-mikrotik-jako-soho-router-3-wifi-sit-pro-navstevniky
K síti (routeru) se připojím, ale dál k internetu už ne.. Netuším proč. Těch parametrů k nastavení je teď v Router OS více, možná chybuji někde tam.
1. potřebuješ "jinou" bezdrátovou síť, která nebude v bridgi s LAN porty
2. tato síť musí mít svůj rozsah IP adres, dhcp server apod. Na mikrotiku je dobré si udělat druhý bridge, tomu přiřadit IP adresu (např. 192.168.99.1/32) a do něj dát virtuální adaptér druhé wifiny.
3. pak ti bude fungovat omezování forwardingu (jen to bude ve stylu rozsah2wlan, např. 192.168.99.0/24 do 192.168.88.0/24)
Aha, tohle nastavení mi chybělo (IP - DHCP Server - Network), to v tom článku chybí:
Je to ale pak popsáno v diskuzi. Už (mi) to funguje, podle JaFiho článku, včetně blokování přístupu na LAN (u mě IP 162.198.88.*)