Чего то пока не сообразил - как это реализовать: нужна внутренняя гостевая сеть с доступом только в и-нет, без возможности лазать по локалке.
Есть внутренняя сеть 172.16.0.0/16 со шлюзом 172.16.0.1.
Внутри сети решено отгородить роутером (mikrotik) небольшую сетку для всяких приезжих с доступом в инет.
Вопрос: как заблокировать хождение пакетов в 172.16.0.0 при этом не запрещая обращение к шлюзу 172.16.0.1?
Пока думаю - поставить три правила одно за другим:
1) accept входящих-исходящих на адрес шлюза
2-3) drop всех входящих-исходящих подсети 172.16.0.0.
Я не очень хорошо знаю микротик, но может там есть какие то штатные методы капсуляции? Сразу оговорюсь - огородить нужно будет весь трафик с этого микротика, не только Wi-fi.
Updated: 04 October 2021, 13:36:24
Добавил поверх всего списка правил во вкладке FilterRules
Как то больно просто, но вроде пока работает...