Изоляция VPN-клиентов друг от друга

Очень мало информации для понимания ситуации. Мой совет: в конце цепочки forward добавить правило chain=forward action=drop. Это полностью убьёт всё L3 VLAN-взаимодействие (одним правилом, а не пятью тысячами). А дальше останутся только правила для разрешённого трафика, например, доступ VLAN к WAN или пользователи из VLAN A, которым нужен доступ к принтеру с IP в VLAN B (общий доступный девайс) и так далее.

Жаль, что я не так умен, как anav, которого я всегда ценил и уважал как активного участника форума — но, в конце концов, у всех бывают плохие дни. И да, я совсем пропустил масштаб.

А как насчёт такого варианта — его можно создать скриптом, и он, по идее, должен делать то, что нужно — при этом на каждого арендатора приходится несколько строк:

Создайте отдельный PPP-профиль для каждого арендатора. В этом профиле добавьте подключения этого арендатора в список интерфейсов. Создайте цепочку firewall на арендатора и используйте её как исходящий фильтр с matcher in-interface-list=!tenant-list и действием drop. В качестве альтернативы можно использовать списки адресов (что может быть гибче, так как одно подключение можно добавить в несколько списков). В итоге получится разумное количество правил firewall, которые будут использоваться только там, где это необходимо.

— Крис (у которого второе имя — эффективность)

Ну, правило «одной капли крови» — это только половина истории. Количество «просто разрешающих правил поверх этого правила одной капли» наверняка будет таким же, как я и предлагал. Я принесу тебе шоколад — как только снова можно будет путешествовать и проводить живые мероприятия, с удовольствием встречусь с тобой на пиво — либо в Пенсильвании (наш штаб), либо в Калифорнии (там у меня обычно несколько фестивалей в году), либо в YYZ, когда буду летать через Торонто. Удачи, приятель, Крис.