Mikrotik RouterOS 已嵌入“桥接防火墙”。您可以使用 MAC 地址应用过滤规则。

在 Bridge 菜单、Filter 和 NAT 选项卡中。是的，NAT .. 你也可以 dst-NAT 或 SRC-NAT（以及许多其他可能性）。因此，在您的情况下，您可以添加一些规则以允许两个 MAC 之间的流量，并拒绝所有其他 MAC。

请参阅 http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall

从评论更新：

为您的 AP 配置客户端隔离并将特定站点添加到访问列表中以允许它们之间的通信

/interface wireless set [ find name="wlan_foo" ] default-forwarding=no

/interface wireless access-list
add interface=wlan_foo mac-address=BC:85:56:A0:E8:3F forwarding=yes
add interface=wlan_foo mac-address=40:B3:95:31:9A:FB forwarding=yes

我可以想到可能出现这种情况的几个原因：

• 虽然有许多品牌的接入点硬件，但它们都从少数制造商（爱特梅尔、博通、英特尔、Marvell 等）采购为其提供动力的无线芯片组。我认为这些芯片组可能存在固有限制，即不支持更高层的过滤。

• 802.11 标准中没有假设传输层是 TCP/IPv4（即使绝大多数是）。

我熟悉的大多数商业无线供应商（特别是 Aruba 和 Trapeze/Juniper）仅在集中式硬件控制器或其中一个 AP 中的此控制器的虚拟化实例（主要是在 ESSID 和 VLAN 之间）强制执行 L3 ACL 和防火墙策略它附加到，这意味着 WLAN 客户端只能通过 AP 隔离的全有或全无方法进行控制。

在一些相关的说明中 - 当您的网络上有一个接入点时，AP 隔离模式运行良好，但考虑当您有两个或更多并且客户端漫游时会发生什么。他们的 MAC 现在是在原始 AP 的上行链路接口上学习的，现在可以愉快地与客户端通信。

这在某种程度上可以通过“瘦”和集群“厚”AP 解决，但独立的“胖”AP 对此无能为力。