Пытаюсь не дать доступ к сети определённой группе пользователей.

Нет, я просто хочу заблокировать сеть 172.0.0.0/8 для тех пользователей, которых зовут ‘guest’ (или которые вошли как ‘guest’). Я уже пробовал это… без какого-либо результата. [admin@MikroTik] ip firewall filter> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward in-interface=LAN out-interface=WAN-83 dst-address=172.0.0.0/8 hotspot=from-client action=reject reject-with=icmp-network-unreachable

До встречи! Большое спасибо за ответ . Объясняю: в моей ситуации с точкой доступа мне нужно различать корпоративных пользователей и обычных пользователей (приглашенных или хостов). Для приглашенных пользователей доступ ко всему в диапазоне 172.0.0.0 должен быть ограничен, чтобы они не могли получить доступ к корпоративным ресурсам. То есть, обычным пользователям следует запретить доступ ко всем сайтам в диапазоне 172.0.0.0 (или любому другому адресу, который решает ту же задачу). Спасибо.

Есть какие-нибудь идеи… вопрос немного срочный… спасибо большое.

Если хотите заблокировать сеть 172.0.0.0/8 для всех пользователей или только для определенных, используйте простое правило: ‘ip firewall filter add chain=forward dst-address=172.0.0.0/8 action=drop’. Укажите src-address, если нужно заблокировать доступ для конкретных пользователей. А еще, самодельные цепочки не пропускают трафик, если вы не настроили перенаправление на основные цепочки input, forward, output. Forward – это цепочка по умолчанию для пользователей роутера.

Привет! У меня вот что: [admin@MikroTik] ip firewall filter> pr
Флаги: X - отключен, I - недействителен, D - динамический
0   ;;; Запретить доступ к роутеру через Telnet (протокол TCP, порт 23)
    chain=input protocol=tcp dst-port=23 action=drop

1   ;;; Отбрасывать недействительные подключения
    chain=input connection-state=invalid action=drop

2   ;;; Разрешить установленные подключения
    chain=input connection-state=established action=accept

3   ;;; Разрешить UDP
    chain=input protocol=udp action=accept

4   ;;; Разрешить ICMP
    chain=input protocol=icmp action=accept

5   ;;; отбрасывать недействительные подключения
    chain=forward protocol=tcp connection-state=invalid action=drop

6   ;;; Разрешить уже установленные подключения
    chain=forward connection-state=established action=accept

7   ;;; разрешить связанные подключения
    chain=forward connection-state=related action=accept

8   ;;; запретить BackOriffice
    chain=udp protocol=udp dst-port=3133 action=drop

9   ;;; отбрасывать недействительные подключения
    chain=icmp protocol=icmp icmp-options=0:0 action=accept

10   ;;; разрешить установленные подключения
    chain=icmp protocol=icmp icmp-options=3:0 action=accept

11   ;;; разрешить уже установленные подключения
    chain=icmp protocol=icmp icmp-options=3:1 action=accept

12   chain=forward action=jump jump-target=hotspot

13   chain=1 dst-address=172.0.0.0/8 action=drop
[admin@MikroTik] ip hotspot user> print
Флаги: X - отключен, D - динамический
#   SERVER  NAME                                                   ADDRESS         PROFI
0           admin                                                                  defau
1           invitado                                                               invi1 Invitado = guest (in spanish)

Может быть, через меню NAT? Я пытаюсь…

Для меня это было бы так: ip firewall nat add action=dstnat dst-address=172.0.0.0/8 action=dst-nat to-addresses=192.168.1.1 Но… как сделать, чтобы это правило NAT работало только для пользователя 'guest'? Спасибо большое.

Пользователь 'guest' – это тот, кому не удастся получить доступ к 172.0.0.0/8, и при попытке доступа к этому диапазону его будут перенаправлять на 192.168.1.1. И… как я могу назначить это пользователю (guest)? Какое правило это делает? Спасибо.

Ну, мне нужно заблокировать только гостевого пользователя от входа в точку доступа. Сработает?