hm... markiraj im pakete kao nemanet i posle definishi nepostojecu rutu za njih .. 127.0.0.1 ...
ili ip firewall drop :)

nekoliko nacina, raditi maskaradu za samo odredjen opseg adresa, tamo u NAT kad si dodao srcnat lanac i akciju masquerade mozes dodati i src. address i nat ce se vrsiti samo za taj opseg adresa

drugi nacin je konektovanje korisnika putem pppoe servera, a zabraniti saobracaj na trenutnom interfejsu

treci kao sto ti je nemesis rekao, ali se to vise koristi za nesto drugo, bolje je iz nekog skupa dozvoliti pojedinim delovima nesto nego ceo skup dozvoliti pa braniti odredjenim delovima, razumes :)

Ne trebaju ti nikakva markiranja ni PPPoE server za ovako jednostavnu operaciju.
Pojedinacno svakoj IP adresi mozes blokirati prolaz kroz MT:

/ip firewall filter
add chain=forward src-address=10.0.0.x action=drop

Hvala svima na odgovorima :)
OK, ja sam na slican nacin uradio to jos sinoc, naime, dodao sam u firewall filter ip adrese koje mogu da idu na net, i kao poslednje pravilo sam stavio da dropuje sve, tako da sad sve adrese koje su na spisku imaju net, a ostale ne.
Zanima me samo koliko taj broj pravila opterecuje sam ruter i koliko realno usporava saobracaj? mreza je od 40ak racunara sa statickim IP adresama, a ja mikrotik koristim svega 4 dana, pa je verovatno i konfiguracija samog rutera trapava i sve to verovatno moze da bude prostije.

edit: typo

_{[Ovu poruku je menjao neca dana 12.10.2010. u 13:01 GMT+1]}

ja lepo napisah ili ... drop :)
ja lichno volim vishe da markiram pakete ...hm ajde da kazemo
da ih promatram lakshe mi je tako da vidim sta je otishlo, nigde :)

nemesis, ne vezano za njega, ne mozes sve posebno da zabranis ako si prethodno sve dozvolio, znaci koja je poenta da se dozvoli svim ip adresama nesto i braniti odredjenim opsezima, uvek ces zaboraviti nesto da zabranis i doci do problema, treba sve zabraniti a dozvoliti ono sto hoces, u tvom slucaju zabrani sve pa to sto markiras uradi accept

sve sam uspeo da sredim izuzev jedne stvari. Do sada mi je mikrotik radio kao dhcp client, ali mi se cesto desavalo da zbog toga blokira adsl ruter pa sam resio da ruter stavim u bridge mode a da mi mikrotik radi kao ppoe-client. Napravio sam konekciju, konektotovao se regularno, sa mikrotika ping funkcionise, ali sa racunara ni da cuje



nisam bas najsigurniji gde gresim. sta bih mogao da pogledam?

p.s.
pomislio sam da su mozda neka pravila od prethodne konfiguracije problem, pa sam uradio reset rutera i samo podesio ppoe-client i ista je situacija.

/ip firewall nat

chain=srcnat action=masquerade out-interface=pppoe-dsl

PIVO! :D
Hvala najlepse :D

Pozdrav.

Konekcija na internet je preko lan-a
Korisnici se konektuju preko pppoe, a kace se na wlan(AP)
firewall podesen (maskarada), podignut pppoe server,... radi sve ok

Zanima me, sta ce se desiti ako se u firewall stavi action-drop, in inteface-AP(wlan1), chain-forward, dali ce taj ap da propusata pppoe konekciju i dali ce korisnici moci da koriste taj wlan(ap) za lan umrezvanje?

ugasish onu opciju forward na samom wifi interface... :)
i nemogu medjusobom da komuniciraju samo sa tobom ..
ako dignesh pppoe server na tom interface da oslushkuje ... oni
svu komunikaciju imaju preko njega
nema potrebe da radish drop i slichno, ti preko PPPoE secrets pustash
nekog ili ne sa nekim profilom i/ili ip itd..
:")

Hvala na odgovoru.
Pokusao sam da iskljucim forward ali ping iz nekog razloga prolazi. Moze da se odradi ako ih dodam u access listu, ali pa tu treba svaku mac adresu posebno da ubacujem dok bi sa drop to odradio odjednom.
Sto se tice klijenata neka se vide preko broadband konekcije, meni je bitno da se zastitim od spoljasnih "uljeza".

Jos neki predlog?