Trnec ano má, nicméně v lokální síti si lidé běžně sdílejí data přes login "everyone". (ale ano, u tohoto PC to nebylo potřeba)
díky tomu jsem ale zjistil že jsem měl celou dobu všechno špatně:
celou dobu jsem měl v konfiguraci chybu, o které jsem nevěděl díky tomu, že RB2011 má 2 switche a veřejná síť byla na "2", mylně jsem si myslel, že bridge se mezi sebou nevidí. - tak snad jsem to opravil spravně.
Pro zjednodušení jsem si tedy nastavil rozsahy IP do Adress Lists.
nastavil pravidla:
chain=forward action=drop src-address-list=!verejna in-interface=bridge_veřejný
- tím tedy zamezím, aby si někdo mohl změnit na veřejném bridge IP adresu
dále pak nastavím aby veřejný rozsah neměl přístup k rozsahu wireguard a k privátní síti
chain=forward action=drop src-address-list=verejna dst-address-list=soukroma
chain=forward action=drop src-address-list=verejna dst-address-list=wireguard
pokud bych chtěl ještě zemezit přístup z veřejné sítě na mikrotika tak bych nastavil input
stále ale platí, že pokud se ze soukromé sítě chci dostat na veřejnou tak to nejde (ale nejspíš díky tomu, že odpověď veřejné sítě je dropnuta)