Оглавление
Что хотим:
Хотим ограничить выход в интернет для определенного ip в сети, чтобы он мог общаться только с локальной сетью
Что делаем:
Делаем два правила, первое будет разрешать траффик во внутреннюю сеть, а второй (меньшего приоритета) запрещать весь траффик:
add action=accept chain=forward dst-address=192.168.1.0/24 src-address=192.168.1.x
add action=drop chain=forward src-address=192.168.1.x
Таким образом, все пакеты, предназначенные локальной сети будут обработаны первым правилом, но не вторым. Все остальные пакеты подпадут под второе правило и будут отброшены.