Какие шаги нужно предпринять для ограничения доступа в внешнюю сеть на устройстве Mikrotik?

Для ограничения доступа в внешнюю сеть на устройстве MikroTik вы можете воспользоваться файлами фильтрации IP (Firewall) и NAT. Ниже приведены шаги, которые вы можете выполнить, чтобы заблокировать доступ к всем внешним IP-адресам для определенного количества локальных IP-адресов и разрешить доступ только для одного конкретного адреса.

### Шаги для ограничения доступа

1. **Подключитесь к вашему MikroTik:** Используйте Winbox, SSH или WebFig для доступа к интерфейсу управления.

2. **Перейдите в настройки Firewall:**
   - Откройте меню "IP" -> "Firewall".

3. **Добавьте правило для разрешения доступа к определённому IP:**
   - Перейдите на вкладку "Filter Rules".
   - Нажмите кнопку "+" для добавления нового правила.
   - В разделе "General" выберите:
     - Chain: `forward`
     - Src. Address: введите диапазон локальных IP-адресов, к которым вы хотите ограничить доступ (например, `192.168.1.10-192.168.1.20`).
     - Dst. Address: укажите IP-адрес, которому вы хотите разрешить доступ (например, `203.0.113.1`).
   - Перейдите на вкладку "Action" и выберите `Accept`.
   - Нажмите "OK", чтобы сохранить правило.

4. **Добавьте правило для блокировки доступа к остальным внешним IP:**
   - Снова нажмите "+" для добавления нового правила.
   - В разделе "General" выберите:
     - Chain: `forward`
     - Src. Address: введите тот же диапазон локальных IP-адресов, к которому вы хотите ограничить доступ.
     - Достижимо (Dst. Address): `0.0.0.0/0` (это значит "все внешние IP").
   - Перейдите на вкладку "Action" и выберите `Drop`.
   - Нажмите "OK", чтобы сохранить правило.

5. **Проверьте порядок правил:**
   - Убедитесь, что правило `Accept` находится выше правила `Drop`. MikroTik обрабатывает правила сверху вниз, и первое подходящее правило будет применено.

6. **Примените и протестируйте конфигурацию:**
   - Проверьте, работает ли доступ для разрешенного адреса, и что доступ к другим внешним IP заблокирован для локальных IP-адресов.

### Примечание
- Если у вас есть другие правила, которые могут конфликтовать с этими правилами (например, правила, разрешающие трафик), вам может потребоваться пересмотреть их порядок.
- Убедитесь, что локальные IP-адреса, использующие NAT, настроены правильно.

После выполнения этих шагов доступ к внешним сетям будет ограничен для указанных локальных IP-адресов, оставляя доступ только к одному разрешенному IP-адресу.

IP Firewall Rules 
 
 Цепочка Forward 
 
 Src Address list создаём список хостов сети 
 Dst Address list создаём список хостов куда можно подключаться 
 
 Далее в зависимости от типа фаервола. Делаем отрицание Dst Address list и action drop 
 
 Либо action accept, но следующим правилам блокируем остальной трафик.

есть в локалке некоторое количество айпишников
 
 Если DHCP то добавить в резервацию что бы адреса не менялись. 
 
 Создаем address-list из потерпевших 
 
/ip firewall address-list
add list=allowed_ips address=192.168.1.100
add list=allowed_ips address=192.168.1.101
 
 
 Добавляем правила в firewall 
 
# Allow access to 1.1.1.1 for addresses in the 'allowed_ips' list
/ip firewall filter
add action=accept chain=forward src-address-list=allowed_ips dst-address=1.1.1.1 protocol=tcp comment="Allow access to 1.1.1.1"

# Block all other internet access for addresses in the 'allowed_ips' list
add action=drop chain=forward src-address-list=allowed_ips comment="Block all other access"