Russian Users MikroTik | Форум пользователей MikroTik

Есть стандартная сетка 192.168.104.xxx
В качестве шлюза dhcp и firewall MIkrotiK RB4011iGS+
В сетке в основном ноутбуки подключаются напрямую проводом по Ethernet
WiFi в конторе запрещен принципиально
Что делают вредоносные пользователи
Включают на буках WiFi-HotSpot и цепляют через него телефоны

Задача что где прописать в Микроте что-бы траффик с этих телефонов срезать, телефонам выдаются локальные ip типа 192.168.137.ххх
Микрот видит как будто трафик с буков идет и mac выводит буков

Пакеты отдавать в сторону буков с ttl=1

а поподробнее можно

Изменять ttl на пакетах приходящий "извне" и уходящих в локалку так, чтобы у них не оставалось ttl для ещё одного лишего "хопа", который будет если кто-то прячет за своим NATом ещё одну сетку.

Как минимум попробовать начать с этого.

/ip firewall mangle

Fasttrack, если включен, придется отключить.

можно пример правила для mangle


fasttrack отключен

Ну вроде сделал, маркируется
далее их на дроп

Что у вас маркируется?

Ну я так сделал в Мангле поставил TTL=1
а на фаерволе эти же пакеты на DROP

Вопрос тут еще; не могу понять почему она не даёт Out.Interface выбрать конкретный Ethernet порт, только бридж