Как заблокировать трафик от клиента к клиенту?

Если клиенты находятся в одной Ethernet-сети, то они общаются друг с другом напрямую, и Mikrotik не задействован. Клиенты определяют, кто находится в их локальной сети, по сетевым маскам в таблице маршрутизации. Если при назначении IP-адреса клиентам вы используете маску /32 (255.255.255.255), то все пакеты будут отправляться на шлюз по умолчанию, ваш Mikrotik, и ваше правило брандмауэра сработает. Конечно, кто-нибудь просто может изменить маску и начать общаться с другими клиентами напрямую. Чтобы действительно изолировать всех, вам нужно поместить их все на виртуально отдельные сети с помощью VLAN. Каждый клиент будет находиться в отдельном VLAN с отдельными IP-сегментами, и это вынудит всех клиентов проходить через маршрутизатор. Разумеется, если физическая безопасность не поддерживается, любой может обойти изоляцию.

Брандмауэр на основе моста не поможет, если клиенты находятся в одной сети второго уровня. Если стек протоколов IP определяет, что целевой хост находится в той же подсети, он выполнит широковещательный ARP-запрос и получит MAC-адрес хоста с указанным IP-адресом в этой подсети. Затем пакет можно отправить напрямую на целевой хост. Брандмауэр на основе моста не будет задействован.

Заставьте ваш DHCP-сервер выдавать сетевую маску 255.255.255.255 или /32. Сетевая маска, которую выдает DHCP-сервер, — это просто значение, которое используется клиентом. Сам DHCP-сервер безразличен к этому значению, например, ему не обязательно совпадать с маской сети, используемой на IP-адресе интерфейса маршрутизатора.

Это верно, если клиенты находятся в разных областях широковещания и могут общаться только через порты Mikrotik. Если несколько клиентов подключены к одному коммутатору, а несколько клиентов — к другому коммутатору, и при этом оба коммутатора подключены к Mikrotik, то клиенты на первом коммутаторе могут свободно общаться друг с другом и Mikrotik не сможет это остановить. Клиенты на втором коммутаторе также могут свободно общаться друг с другом; однако клиенты с первого коммутатора должны проходить через Mikrotik, чтобы общаться с клиентами со второго коммутатора, и тогда твой «фильтр второго уровня!!!» сможет остановить связь. Это был второй пост: «забудь! Нет способа заблокировать связь между клиентами в одной области широковещания», за которым последовали предложения по поводу правил брандмауэра, которые неэффективны, когда клиенты находятся в одной области широковещания. Именно к этому мы и пришли.

Привет всем. Я пытаюсь добиться ровно то, о чем вы здесь обсуждаете: изолировать клиентов в кабельной сети. Как я понимаю, мне нужно настроить разные VLAN для каждого порта, который будет использоваться клиентом, и настроить Mikrotik bridge перед ними. Может, кто-нибудь расскажет немного больше об этом решении? Я хочу использовать hotspot с универсальным клиентом, чтобы не пришлось настраивать IP-адреса на компьютерах клиентов. Так, нужно ли мне настраивать bridge перед клиентом и перенаправлять весь трафик на второй Mikrotik с установленным Hotspot? Это будет работоспособное решение?