Для этой задачи вам нужно присвоить нужному порту (мосту, если портов нужно несколько) ip-адрес и выбросить его НАТом в мир.
/ip address
add address=10.1.2.1/24 interface=ether2 network=10.1.2.0 comment="DMZ"
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether2
Настраиваем DHCP на вариант, когда ПК получают настройки только через роутер. Даже если настройки будут вручную прописаны в настройках ПК — это не отразится в ARP-таблицах и такое устройство не будет работать.
/ip dhcp-server
add address-pool=dmz interface=ether2 name=dhcp-dmz add-arp=yes
/ip dhcp-server network
add address=10.1.2.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.1.2.1 netmask=24
/ip pool
add name=dmz ranges=10.1.2.2-10.1.2.254
/interface ethernet
set [ find default-name=ether2 ] arp=reply-only
Если нужна железобетонная изоляция сетей, идите в
ip→routes→rules/ip route rule
add action=unreachable dst-address=10.1.1.0/24 src-address=10.1.2.0/24
add action=unreachable dst-address=10.1.2.0/24 src-address=10.1.1.0/24
То же самое можно сделать через
ip→firewall→filter, но так железобетоннее, потому что маршруты обрабатываются раньше и дают гарантию, что всё будет заизолировано, даже если в файрволле косяк/дырка.
Простой
Сложный
