Jak na Zákaz části subnetu přístupu k internetu

[fblaha]

Řeším drobný problém: Mikrotik 2011

1 port - gateway směrem do internetu - 1 veřejná adresa.
porty 2-5 - bridge v subnet 192.168.1.0/24

Jak zakázat části subnetu, řekněme 192.168.1.10-192.168.1.20 přístupu k internetu, tedy na port 1.
Ve firewellu je pochopitelně nastavený NAT.

Kód: Vybrat vše

add action=masquerade chain=srcnat out-interface=Ethernet1 to-addresses=0.0.0.0


Tohle řešení

Kód: Vybrat vše

/ip firewall address-list
add address=192.168.1.10-192.168.1.20 list=Disable_net

/ip firewall filter
add action=drop chain=input in-interface=bridge rc-address-list="Disable_net"


asi není správně, protože blokuje komunikaci pro zadaný address list na celého úrovni bridge. A to není účelem. Cílem je zakázat pouze odchod na internet.

Jak danou záležitost řešit. Na úrovni NAT? Jak?

[sub_zero]

Kód: Vybrat vše

/ip firewall filter
add action=drop chain=forward out-interface=ether1 scr-address-list="Disable_net" disable=no

[fblaha]

Kód: Vybrat vše

/ip firewall filter
add action=drop chain=forward out-interface=ether1 scr-address-list="Disable_net" disable=no

Holt když si jeden neuvědomí, že když se input předá z jednoho rozhranní na druhé, tak na tom druhém je to už forward, tak se musí ptát druhých na takovéto, pro někoho, jednoduchosti.

Děkuji