Russian Users MikroTik | Форум пользователей MikroTik

Всем добрый день!
RouterBOARD 750G r3, Version 6.36.1 (stable)
Подскажите, если кто знает, почему не работает правило фаервола для локальной сети.
В сети 192.168.23.0/28 есть устройство (точка доступа wi-fi) с адресом 192.168.23.2, к которому я хочу запретить доступ на порт 80 из всей сети.
Создал в IP->Firewall правило:
chain=forward action=drop protocol=tcp src-address=192.168.23.0/28 dst-address=192.168.23.2 dst-port=80 log=no log-prefix=""
но оно не работает. Находится правило на самом верху.
При этом, если я так же точно запрещаю какой-нибудь внешний ресурс, например, адрес этого форума dst-address=217.107.219.12 dst-port=443, то правило прекрасно работает!
Не работает только для внутренней сети.
Никак не могу понять почему.

Нельзя запретить общаться двум хостам в рамках их маски сети!

Если проводить аллегорию: нельзя находясь вне комнаты, запретить двумя людям общаться, когда Вас там нет.
Поэтому выход только один: на самой точке (23.2) сделать запрет (если такое возможно). Роутер тут не поможет.

Или если хотите всё же на роутере это сделать, выделите точку 23.2 в другую подсеть,
скажем новый адрес будет уже 23.102 и уже всё, при маске /28 запрос на адрес 23.102 точно пойдёт
не напрямую, а уже через роутер, и при правильном написании запрещающего правила - сработает запрет.

Спасибо!
Теперь всё ясно.