MikroTik router: Como proibir o acesso à Internet para um PC?

Isso pode ser traduzido quase diretamente para regras de firewall:

/ip firewall filter {

• permite de PC-2 a LAN:

  add chain=forward src-address=<PC2_IP> dst-address=<LAN_SUBNET> action=accept
  

• negue do PC-2 para qualquer outro lugar:

  add chain=forward src-address=<PC2_IP> action=reject
  

Que também pode ser combinado:

• negue do PC para não -LAN:

  add chain=forward src-address=<PC2_IP> dst-address=!<LAN_SUBNET> action=reject
  

}

Aqui < LAN_SUBNET > deve ser o prefixo que você deseja permitir, por exemplo, 192.168.88.0/24 para a regra IPv4 ou 2001:db8:abcd:0::/64 para IPv6.

A verificação de regras vai de cima para baixo até a primeira correspondência, portanto, verifique se a regra segue "allow established", mas antes de qualquer regra "allow all" que você possa ter.

Observação: Dentro da mesma sub-rede, o acesso sempre será permitido, pois as comunicações passam apenas pelo switch interno e não alcançam o sistema operacional. (Embora o RouterOS permita a substituição, se necessário - sob /interface ethernet switch rule , você também pode encontrar uma opção para redirecionar pacotes do PC-2 para o SO. No entanto, geralmente é melhor supor que o tráfego intra-sub-rede não está filtrado.)

Além do que o @grawity disse, certifique-se de tornar a concessão de DHCP do PC-2 estática. Você também precisa determinar o nível de ameaça. Se o PC-2 for usado por alguém com qualificação técnica, será necessário evitar que o roteador adicione ARP automaticamente de difusões e defina o servidor DHCP como Add ARP for leases . Isso impedirá que eles usem um IP estático para ignorar.

Agora que penso nisso, a solução mais fácil seria apenas filtrar com base no endereço MAC:

/ip firewall filter add chain=forward src-mac-address=XX:XX:XX:XX:XX:XX dst-address=!X.X.X.X/XX action=reject