Иногда требуется заблокировать гостям доступ в локальную сеть. Сначала получаем локальный доступ на роутер.
В этом примере мы предполагаем что используется стандартный диапазон адресов в нашей гостевой сети - 10.5.32.0/19 а адреса используемые в локальной сети организации - 192.168.0.0/16
Задача сводится к тому чтобы заблокировать в Firewall в цепочке Forward траффик из гостевой сети в адреса из определенного диапазона. Также необходимо учесть момент что могут стать недоступными DNS-сервера расположенные в заблокированном диапазоне, с настройки DNS мы и начнем. Убедитесь что в разделе IP -> DNS вписаны адреса заведомо рабочих серверов (в примере мы используем 78.88.8.8 , 8.8.8.8 и 8.8.4.4)
Важно чтобы указанные DNS-сервера не попадали в диапазон блокируемых адресов.
Такие же адреса DNS-Серверов необходимо прописать для раздачи гостям в разделе IP -> DHCP Server -> Networks
ОК.
Теперь нам осталось добавить в Firewall в цепочку Forward запрещающее правило.
Открываем раздел IP -> Firewall -> Filter Rules Нажимаем + чтобы добавить новое правило. В открывшемся окне добавления правила указываем
Chain: forward
Src. Address: 10.5.32.0/19
Dst. Address: 192.168.0.0/16
Далее переходим в этом же окне во вкладку Action и ставим Action: reject
Жмем ОК, теперь доступ в локальную сеть заблокирован.