Firewall 阻止PC访问Mikrotik上的本地LAN

我在VMWare下安装了Ubuntu。我想设置我们的Mikrotik路由器来阻止Ubuntu访问本地局域网。我只允许访问外部互联网

---

我尝试了很多防火墙规则，但都不起作用。如何实现这一点？

如果您在VMware VM中安装了Ubuntu，并且它通过桥接网络连接到，那么IPv4的特性将使它能够访问同一子网/层2域中的所有内容，而无需访问路由器。发生的情况是，虚拟机的IP堆栈将发送一个ARP请求——ARP必须发送到同一子网中的广播地址。请求的目标主机将使用其MAC地址进行回复，两台主机直接通信而无需路由器

在Mikrotik上，您可以做的是在另一个子网中创建另一个ipv4地址（例如192.168.2.1/24，如果192.168.1.1/24是您的主地址），并为Ubuntu VM的MAC设置一个静态DHCP租约，使其获得地址192.168.2.50/24，并使用192.168.2.1作为默认网关。然后，您可以在Mikrotik中设置防火墙规则，以阻止192.168.2.1和192.168.1.1之间的通信 -但是请注意，这实际上并不能阻止在LINUX VM上具有ROOT访问权限的有能力的攻击者访问您的LAN-

要正确地做到这一点，您实际上需要一个单独的VLAN或一个连接到私有网络和LAN网络的Mikrotik/Linux虚拟机，充当两者之间的防火墙。 我不认为这是我可以解释的，但是

---

此外，这个答案被否决了，因为它与通用计算相关，而不是编程，所以它脱离了主题。还有一个类似的论坛叫超级用户，它更适合这种问题。

读到这样的答案真是令人耳目一新。非常感谢。我试图在这里找到一位网络/tik大师，他可以根据你的建议解决这个问题