myslim ze takhle to fungovat nebude, protoze:
vezmeme si napr. ping
ten se vysle ze subnetu local1 do subnetu local2(dle navodu projde) a pak na nej reaguje zarizeni v subnetu local2 a posle zpet odpoved na local1(dle navodu neprojde).
Nejsem si jist, ale v linuxu by se to s iptables takhle chovalo...
a ted prostor pro mou teorii:
znackovat v mangle SPOJENI ktery byly vytvoreny z local1 a sly na local2 a dat jim ACCEPT na obou ifacech. Potom uz jen drop to co jde z local2 na local1....
Tak nejak ;)