Чудес не бывает. Вы или не полный конфиг показали или у вас есть другие dhcp сервера.
Ну сами подумайте, от куда компьютеры узнают шлюз и сеть в которой они работают? в вашем конфиге эта информация отсутствует.
Код: Выделить всё
/ip firewall address-list
add address=192.168.1.0/24 list=MixUp1Up2_list
add address=192.168.2.0/24 list=MixUp1Up2_list
etc...
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=!MixUp1Up2_list new-routing-mark=MixUp1Up2 passthrough=no src-address-list=MixUp1Up2_list
и как это сделать?
Спасибо за ваши старания вникнуть в проблемуKARaS'b писал(а): ↑06 апр 2019, 23:59 Да, можно на основе вашего адреслиста, если он содержит абсолютно все ваши подсети.
А по поводу блокировки и разрешений, вот шикарная тема - viewtopic.php?f=15&t=6572
Там на 5й странице от нашего многоуважаемого vqd шикарный пример, как использовать фаервол для вашей задачи.
Код: Выделить всё
/ip firewall address-list
add address=192.168.3.0/24 list=No_Filter
/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=192.168.0.0/16 src-address=192.168.0.0/16 src-address-list=!no_filterA dst-address-list=!no_filterB
add action=drop chain=forward connection-state=new dst-address=10.10.0.0/16 src-address=192.168.0.0/16 src-address-list=!no_filterA dst-address-list=!no_filterB
add action=drop chain=forward connection-state=new dst-address=192.168.0.0/16 src-address=10.10.0.0/16
ну или так (не совсем корректное решение)
Код: Выделить всё
add action=drop chain=forward dst-address=192.168.0.0/16 src-address=192.168.0.0/16
Код: Выделить всё
add action=drop chain=forward connection-state=new dst-address=!192.168.3.0/24 dst-address-list=Local src-address-list=Local
Большое спасибо ВАМ за помощь, также всем кто также подключился к помощи.KARaS'b писал(а): ↑07 апр 2019, 12:00 По сути, все ваши хотелки касаемо блокировки и разрешения 3й подсети можно уместить всего в одно правило.Но я напомню, тут у нас форум, а не платная поддержка, а это только примерный пример, я его проверил у себя и оно работало, но как оно поведет себя у вас и к чему приведет в дальнейшем сказать не могу, как говорится, все на свой страх и риск.Код: Выделить всё
add action=drop chain=forward connection-state=new dst-address=!192.168.3.0/24 dst-address-list=Local src-address-list=Local
И главное не забывайте, очередность правил играет большую роль, говорю это потому что в вашем фаерволе вижу "ляпы" и из-за них возможно вам придется повозиться.
Код: Выделить всё
add action=drop chain=forward connection-state=new in-interface-list=LAN out-interface-list=LAN
add action=drop chain=forward connection-state=new in-interface-list=LAN out-interface-list=LAN