Přidal jsem do firewallu následující pravidla, abych měl jednoduchý MAC filter:
/ip firewall filter
add chain=forward in-interface=ether3 src-mac-address=XX:XX:XX:XX:XX:XX
add chain=forward in-interface=ether3 src-mac-address=XX:XX:XX:XX:XX:XX
add action=drop chain=forward in-interface=ether3

To funguje, ale na stejném routeru jsem nastavil i DHCP relay pro stejnou síť ether3.
Děje se to, že klient IP adresu od DHCP serveru dostane i přesto, že je forward do jiné sítě pro jeho MAC adresu zakázaný.

Jde to ovlivnit nějakým pravidlem ve firewallu?

Mám možnost nastavit MAC filtr i na DHCP serveru, ale to není úplně ideální, protože pak musím MAC adresy zadávat na 2 místech. DHCP server ve W2k8 R2 stále neumí vytvořit filtr automaticky podle rezervací.

Děkuji za odpovědi.