Михаил М

Легко

/ip firewall address-list
add address=8.8.8.8 disabled=no list=whitelist
add address=8.8.8.8 disabled=no list=whitelist

#замените 8.8.8.8 на ваши адреса

/ip firewall filter
add action=accept chain=input in-interface=WAN connection-state=new dst-port=20,21,3389 protocol=tcp src-address-list=whitelist
add action=drop chain=input in-interface=WAN connection-state=new dst-port=20,21,3389 protocol=tcp

#замените wan на название вашего внешнего интерфейса
#удостоверьтесь после добавление новых правил, что перед ними нет запрещающих правил под которые могут попадать входящие разрешенные пакеты

Беда в том, что даже сами производители смешивают эти понятия.

Изначально, опираясь на теорию, "точка доступа" - это устройство, обрабатывающее трафик на втором уровне модели ISO/OSI. Т.е. это "коммутатор с беспроводными и проводными интерфейсами". "Маршрутизатор" - это третий уровень модели ISO/OSI, обработка трафика на уровне протоколов третьего уровня, например, IPv4.

Если говорить про "WiFi-маршрутизатор" - он обычно состоит из некоего "маршрутизатора, предоставляющего L3 и, чаще всего, NAT" и "коммутатора с беспроводными и проводными интерфейсами". И в "точке доступа" для SOHO-устройств обычно есть то же самое, т.е. она является маршрутизатором. А разделение на уровне SOHO на маршрутизаторы и точки доступа делается производителем произвольно, чаще всего по функционалу - типа "если несколько портов ethernet - значит маршрутизатор, если один - значит точка доступа". Но это неправильное деление, размывающее понятия и служащее только для маркетинговых целей.

Классическая точка доступа (например, семейства Cisco Aironet) не имеет функций маршрутизатора пользовательского трафика, обладает собственным IP-адресом только для менеджмента и уж, тем более, не имеет функционала NAT.