Возникла задача по ограничению доступа клиентов, подключающихся по L2TP к определенной подсети локальной сети. Создание правил на очереди Input не отрабатывает так, как ожидается. В профиле есть возможность указания очереди, в которую будет попадать трафик клиентских подключений, к которым привязан данный профиль, но как это работает так и не получилось разобраться.

 Рабочим решением оказалось ограничение трафика в очереди Forward. Пример правила приведен ниже.

     ;;; rule for remote access clients
      chain=forward action=drop connection-state=!established,related 
      src-address=192.168.255.128/25 dst-address=192.168.1.0/24 log=no 
      log-prefix=""