Пользователи VLAN, Adress List и интерет.

[shvedoff]

Ребят.
Ну помогите. У меня сейчас мозг взлетит.
Не могу понять как ограничить доступ пользователям из VLAN к интернету, которые не входят в Firewall-Adress List.
Делаю доступ двум пользователям с адресом 22 и 23, но доступ все равно имеют все.
Так же меняю адрес вручную с 22 на 32 и 22 весит еще долгое время.
32 все равно получает доступ в интернет, хотя в списке его нет.
Если VLAN вношу в Bridge то начинается какая-то хрень и доступ вообще теряется.

Ниже конфиг:
/interface bridge
add fast-forward=no name=bridge
/interface vlan
add interface=ether2 name=vlan4 vlan-id=4
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=10.0.0.2-10.0.0.254
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge disabled=yes interface=vlan4
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=ether2 list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=vlan4 list=LAN
/ip address
add address=10.0.0.1/24 comment=defconf interface=bridge network=10.0.0.0
add address=192.168.10.1/24 interface=vlan4 network=192.168.10.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=10.0.0.1 name=router.lan
/ip firewall address-list
add address=192.168.10.23 list=vlan4
add address=192.168.10.22 list=vlan4
/ip firewall filter
add action=accept chain=forward src-address-list=vlan4
add action=drop chain=forward src-address=192.168.10.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=ether1 src-address=10.0.0.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.10.0/24 src-address-list=""
/ip route rule
add action=unreachable dst-address=192.168.10.0/24 src-address=10.0.0.0/24
add action=unreachable dst-address=10.0.0.0/24 src-address=192.168.10.0/24
/ip service
set winbox address=0.0.0.0/0
/system clock
set time-zone-name=Asia/Almaty
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[Andrey.S.]

Много букв... особо разбираться нет времени... одна из существенных ошибок:
необходим бридж включить в LAN группу. Т.е., после того, как Вы создали бридж, LANом выступает именно он, а не порты.

Код: Выделить всё

/interface list member
add comment=defconf interface=bridge list=LAN

если Вы в NAT создадите такое правило

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN src-address-list=!without_inet

и в адрес лист добавите IP

Код: Выделить всё

/ip firewall address-list
add address=192.168.10.22 list=without_inet
add address=192.168.10.23 list=without_inet

то адреса .22 и .23 в инет доступ в инет иметь не будут
если убрать "!" (т.е. написать ..... src-address-list=without_inet) -- то доступ будут иметь только эти два адреса

[algerka]

Не могу понять как ограничить доступ пользователям из VLAN к интернету, которые не входят в Firewall-Adress List.
Делаю доступ двум пользователям с адресом 22 и 23, но доступ все равно имеют все.

22 и 23 я так понимаю это 192.168.10.22 и 192.168.10.23 ?
vlan вы делаете на ether2, а дальше что к этому ether2 подключено и как эта vlan на компьютеры приходит ?