Правила FW для LAN интерфейса

[olhovik]

Hi
Ether1 - провайдерский линк
Ether2 - локалка
Мне нужно сделать правило, которое бы блокировало доступ всех клиентов за ether2 (локалка) к роутеру, но разрешить трафик через ether2 на ether1(маскардинг) далее в инет
Но гложет меня сомнение, на счёт вот этого правила chain=input action=drop in-interface=ether2
Подскажите, знающие люди, это правило блокирует пакеты, которые имеют своим назначением ether2 и совсем не затрагивают пакеты, которые идут транзитом через ether2 на ether1 по правилам маскардинга? Попробовать будет несколько проблематично:)

[alex_bratsk]

доступ всех клиентов за ether2 (локалка) к роутеру это правило input
разрешить трафик через ether2 на ether1(маскардинг) это правило forward и masquerade.
значит input=drop forward=accept и т.д.

[olhovik]

доступ всех клиентов за ether2 (локалка) к роутеру это правило input
разрешить трафик через ether2 на ether1(маскардинг) это правило forward и masquerade.
значит input=drop forward=accept и т.д.

Сегодня дошли руки проверить. Всё работает как я настраивал, кроме доступа НА ether2.
Мне надо запретить любой доступ К РОУТЕРУ через ether2, но правило input, к сожалению, действует и на трафик через.
Вот помню у dlink, кажется, есть такая сущность как core, и к ней можно трафик блокировать.
Может и у МТ что то такое есть?
Понятно, что можно блокировать порты и винбокса и телнета и вэбфига. Я то собсно так и сделал , но может есть более красивый варинт?

[iSupport]

tools - mac server

посмотрите