Данное решение помимо того что блокирует всех кто ввёл IP руками, так ещё и даёт контроль доступа в интернет.
Итак, создаёт 2 правила в фаерволе:
Код: Выделить всё
/ip firewall filter
add action=drop chain=forward comment="Drop !DHCP-Lease" in-interface=LAN-BRIDGE src-address-list=!DHCP-Lease
add action=drop chain=forward comment="Drop !DHCP-Lease" dst-address-list=!DHCP-Lease in-interface=WAN-PPPoE
Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.
Реализация не идеальная, но в 95% случаев со своей задачей справляется.
Удачи.