Usar Sxt como cliente wireless e rotear ethernet com acesso apenas a internet

Bom dia, estou com um problema e nao consegui resolver de forma alguma, acredito até q seja facil, tenho uma rede wireless local que uso para trafego de arquivos e tudo mais, e estou configurando um sxt para receber sinal de internet, só q junto com sinal de internet esta navegando na minha rede também, queria colocar o acesso via ethernet somente até o sxt, a partir dali nao ter acesso a mais nada

Você usa a SXT cliente como gateway ou criou uma bridge entre as interfaces?

vou usar o sxt como gateway, porem nao quero que ele tenha acesso a rede que ele conecta via wireless

Bom, uma ideia seria configurar rotas falsas para os IPs referentes a redes locais, e um default gateway com distancia mair para o resto. Teoricamente deveria funcionar, mas nunca fiz assim pra ver. Tenta ai:

Código :

---

/ip route add dst-address=10.0.0.0/8 type=unreachable distance=1
/ip route add dst-address=172.16.0.0/12 type=unreachable distance=1
/ip route add dst-address=192.168.0.0/16 type=unreachable distance=1
/ip route add dst-address=169.254.0.0/16 type=unreachable distance=1
/ip route add dst-address=0.0.0.0/0 gateway=IP_DO_GATEWAY distance=2

---

Assim, vai existir uma rota de tipo unreachable para todas as subredes locais; como se fosse uma rota falta, que não leva os pacotes a lugar nenhum. São descartados.

Qualquer outro endereço requisitado vai cair no default ateway (com dst-address 0.0.0.0/0), e vai em diração ao seu roteador. Botei distancia 2 só pra evitar que uma requisição para um IP de rede local não caia nessa rota antes de cair nas primeiras, que estão com distancia 1.

fiz o q disse, aparentemente nao deu certo, atribui o endereço ip da wlan e da lan, e sempre q configuro o nat volta a navegar em tudo novamente

Bom, mesmo com essas regras que passei, o cliente vai continuar fazendo parte pelo menos da rede a qual está configurada na WLAN, pois a rota dinâmica adicionada tem precedência sobre qualquer outra.

O que você poderia fazer é criar uma rede /30 entre a SXT do cliente e o seu router.

Por exemplo, 192.168.0.1/30 no router e 192.168.0.2/30 na SXT do cliente. Assim, a rota dinâmica da rede teriam só 2 IPs, e um deles é o seu router, e o outro o SXT.

Ou seja, a rede a qual a SXT participa que lhe da acesso a internet, não tem nenhum outro dispositivo fazendo parte dela, e somando a isso as regras anteriores no firewall, o trafego que seria feito forward para outras redes já vai ser dropado na saída da SXT.

sim, td bem, só q no meu servidor ja tem outros clientes conectados, entao nao da pra eu fazer assim, sera q nao tem nenhuma regra no nat q resolve isso para eu?

Nos filtros do firewall.

É só dar drop em qualquer trafego vindo do IP dele que o forward não seja para a interface de internet. Digamos que o IP do cliente seja 192.168.1.50, e que vc tem um link que vem de outro roteador (ou modem em modo roteado) e ele ta ligado na ether5, algo assim.

Código :

---

/ip firewall filter add chain=prerouting src-address=192.168.1.50 out-interface=!ether5 action=drop

---

Assim, todo trafego que venha do cliente 192.168.1.50 que a saida dele "não seja" (por isso o "!" ) a ether5, vai ser descartado.

Se o seu link é por pppoe, basta trocar a interface pelo interface pppoe do link, sem esquecer do "!", que significa "não" ou "inverso".

isso, é mais ou menos assim mesmo, consegui um resultado satisfatorio aki

add action=drop chain=forward protocol=tcp src-address=faixa_de_ip_bloqueio/24
add action=drop chain=forward protocol=icmp src-address=faixa_de_ip_bloqueio/24

obrigado pelo seu tempo, obrigado