MikroTik（二）禁止某设备访问外网，只需要内部网络访问

小渣渣

需求：由于设备是第三方的，无法进入到内部系统，为了数据安全考虑，需要禁止该设备访问外网（互联网），只需要和局域网设备进行流量传输。

方案一（未测试）：

建立两条规则，需要注意顺序优先级，如下：

登录可见。

方案二（推荐）：

一条组合命令搞定，如下：

登录可见。

这两种方案需要将 IP 绑定未静态，如果是动态分配，就推荐使用 MAC 地址设置 src-mac-address。

在 RouterOS 中，当你手动配置了防火墙规则（例如 drop 规则）来阻止某些流量时，这些规则通常只会影响新建立的连接。对于已经存在的连接，RouterOS 会继续允许这些连接的数据包通过，直到这些连接自然终止或超时。

这是因为防火墙规则通常作用于新的连接请求（即 new 状态的数据包），而不会立即中断已经建立的连接（即 established 状态的数据包）。这种设计是为了确保网络的稳定性和可靠性，避免突然中断现有的服务和应用程序。

如果你希望立即终止所有已经建立的连接，你需要手动干预。例如：



（完）