Блокировать не желательных пользователей Wi-Fi

[KITT_S]

Есть стандартная сетка 192.168.104.xxx
В качестве шлюза dhcp и firewall MIkrotiK RB4011iGS+
В сетке в основном ноутбуки подключаются напрямую проводом по Ethernet
WiFi в конторе запрещен принципиально
Что делают вредоносные пользователи
Включают на буках WiFi-HotSpot и цепляют через него телефоны

Задача что где прописать в Микроте что-бы траффик с этих телефонов срезать, телефонам выдаются локальные ip типа 192.168.137.ххх
Микрот видит как будто трафик с буков идет и mac выводит буков

[xvo]

Пакеты отдавать в сторону буков с ttl=1

[KITT_S]

а поподробнее можно

[xvo]

Изменять ttl на пакетах приходящий "извне" и уходящих в локалку так, чтобы у них не оставалось ttl для ещё одного лишего "хопа", который будет если кто-то прячет за своим NATом ещё одну сетку.

Как минимум попробовать начать с этого.

/ip firewall mangle

Fasttrack, если включен, придется отключить.

[KITT_S]

можно пример правила для mangle


fasttrack отключен

[xvo]

Код: Выделить всё

/ip firewall mangle add action=change-ttl chain=forward in-interface=ether1 new-ttl=set:1 out-interface=bridge-LAN

[KITT_S]

Ну вроде сделал, маркируется
далее их на дроп

[xvo]

Что у вас маркируется?

[KITT_S]

Ну я так сделал в Мангле поставил TTL=1
а на фаерволе эти же пакеты на DROP

[KITT_S]

Вопрос тут еще; не могу понять почему она не даёт Out.Interface выбрать конкретный Ethernet порт, только бридж