Postado originalmente por
valdineiq
No meu caso eu uso pool de IP e como a minha rede e toda roteada eu tenho que mascara o bloco de ip privado.
a interface ether1 é a saida para a internet
Voce terá que adaptar conforme a forma de seu trabalho
============================================================
/ip firewall address-list
add address=10.0.0.0/24 list=lista_bloqueados
/ip firewall filter
add action=jump chain=forward comment="Regra Clientes Bloqueados" jump-target=bloquear src-address-list=lista_bloqueados
add action=jump chain=forward dst-address-list=lista_bloqueados jump-target=bloquear
add action=return chain=bloquear port=53 protocol=udp
add action=return chain=bloquear port=53 protocol=tcp
add action=return chain=bloquear port=123 protocol=udp
add action=return chain=bloquear dst-address="ip do servidor web com a pagina de aviso"
add action=return chain=bloquear src-address="ip do servidor web com a pagina de aviso"
add action=drop chain=bloquear
/ip firewall nat
add action=jump chain=dstnat jump-target=Bloqueado src-address-list=lista_bloqueados
add action=return chain=Bloqueado port=53 protocol=udp
add action=return chain=Bloqueado port=53 protocol=tcp
add action=return chain=Bloqueado port=123 protocol=udp
add action=return chain=Bloqueado dst-address="ip do servidor web com a pagina de aviso"
add action=dst-nat chain=Bloqueado dst-port=80 protocol=tcp to-addresses="ip do servidor web com a pagina de aviso" to-ports=80
add action=dst-nat chain=Bloqueado dst-port=443 protocol=tcp to-addresses="ip do servidor web com a pagina de aviso" to-ports=443
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=lista_bloqueados to-addresses=0.0.0.0