Re: Usar Sxt como cliente wireless e rotear ethernet com acesso apenas a internet
Bom, mesmo com essas regras que passei, o cliente vai continuar fazendo parte pelo menos da rede a qual está configurada na WLAN, pois a rota dinâmica adicionada tem precedência sobre qualquer outra.
O que você poderia fazer é criar uma rede /30 entre a SXT do cliente e o seu router.
Por exemplo, 192.168.0.1/30 no router e 192.168.0.2/30 na SXT do cliente. Assim, a rota dinâmica da rede teriam só 2 IPs, e um deles é o seu router, e o outro o SXT.
Ou seja, a rede a qual a SXT participa que lhe da acesso a internet, não tem nenhum outro dispositivo fazendo parte dela, e somando a isso as regras anteriores no firewall, o trafego que seria feito forward para outras redes já vai ser dropado na saída da SXT.
Re: Usar Sxt como cliente wireless e rotear ethernet com acesso apenas a internet
sim, td bem, só q no meu servidor ja tem outros clientes conectados, entao nao da pra eu fazer assim, sera q nao tem nenhuma regra no nat q resolve isso para eu?
Re: Usar Sxt como cliente wireless e rotear ethernet com acesso apenas a internet
Nos filtros do firewall.
É só dar drop em qualquer trafego vindo do IP dele que o forward não seja para a interface de internet. Digamos que o IP do cliente seja 192.168.1.50, e que vc tem um link que vem de outro roteador (ou modem em modo roteado) e ele ta ligado na ether5, algo assim.
Código :
/ip firewall filter add chain=prerouting src-address=192.168.1.50 out-interface=!ether5 action=drop
Assim, todo trafego que venha do cliente 192.168.1.50 que a saida dele "não seja" (por isso o "!" ) a ether5, vai ser descartado.
Se o seu link é por pppoe, basta trocar a interface pelo interface pppoe do link, sem esquecer do "!", que significa "não" ou "inverso".
Re: Usar Sxt como cliente wireless e rotear ethernet com acesso apenas a internet
isso, é mais ou menos assim mesmo, consegui um resultado satisfatorio aki
add action=drop chain=forward protocol=tcp src-address=faixa_de_ip_bloqueio/24
add action=drop chain=forward protocol=icmp src-address=faixa_de_ip_bloqueio/24