شما برای دسترسی به اینترنت یوزرهاتون یک NAT نوشتید. از آدرس IP - Firewall - Nat یک src nat دارید که شکل ساده اش میشه عکس زیر.

chain = src nat برای رفتن به بیرون شبکه
src address = 192.168.1.0/24 یعنی هر دیتایی که مبدا اون رنج 1 شبکه باشه
dst address list = not ( Lan ) اون علامت تعجب همون نماد not هست که یعنی مقصد دیتا عضو این لیست نباشه که من اینجا رنج شبکه داخلی و سرورها رو گذاشتم.









که در نهایت در تب action از طریق گزینه action میتونه src nat باشه که باید دقیق آیپی استاتیک پابلیک رو بزنی یا masquerade باشه که خودش به ترتیب دیفالت روت ها رو برای خروج انتخاب میکنه.









کلا این روند مثل if و then برنامه نویسی هست. در تب general تو شرط میذاری که اگر دیتا فلان شرایط رو داشت، در تب action مسیر دیتا رو مشخص میکنی. پس ما اگر میخوایم دستگاهی به اینترنت دسترسی نداشته باشه، باید در تب general کاری کنیم که شرایط رو نداشته باشه تا هیچ عملی برای خروجش صورت نگیره.


برای این کار ساده ترین راه حل اینه که بریم به IP - Firewall - Address List و آی پی دستگاهی که میخوایم روی اینترنت نره رو وارد آدرس لیستی با اسم دلخواه میکنیم.









در اقدام بعدی به تب Nat برمیگردیم و به Nat اینترنت یک شرط دیگه اضافه میکنیم.









این گزینه هم یعنی اگر آیپی دستگاه مبدا دیتا در این لیست نبود شامل حال این Nat بشه. یعنی رسما من بعدا هر آیپی رو به اون لیست اضافه کنم دیگه اینترنت نمیگیره.










سعی کردم ساده و مفهومی توضیح بدم که هم کارت راه بیوفته و هم درک کنی که دقیقا چیکار داری میکنی. امیدوارم مشکل فعلیت حل بشه و به مشکلات و چالش های سطح بالاتری بربخوری.