Есть сабж.
Интерфейсы Wan1 (который смотрит в Инет) и Lan (внутренняя сеть) имеют одинаковый реальный ip (далее IP0), у обоих разрешен transparent mode.
Есть также два компа подключенные к Lan-портам. У них тоже реальные ip (далее IP1 и IP2) из той же подсети, что и IP0. МАС-адреса компов соответственно МАС1 и МАС2
Почитав форум, прописал в ARP два маршрута:
Static-Lan-IP1-MAC1
Static-Lan-IP2-MAC2

Рассчитывал, что если на компе1 прописать IP2, то он выходить в Инет не должен.
Однако выходит. Подскажите, где косяк?

Дело в том, что устройство смотрит на смену -- MAC.
Объясню на примере, есть компьютер для которого есть связка MAC+IP, если мы меняем кампутеру IP на любой свободный, он всёравно будет выходить в интернет, если мы меняем ему МАС, то он уже никуда не выйдет, потому что не совпадает связка.
Т.е. для того чтобы функция работала, нужно создать записи для ВСЕХ компьютеров. И создать правило для них, а не для диапазона LANNET

У нас пул на 16 ip. И два компа внутри (IP1-MAC1 и IP2-MAC2).
Правильно ли я понял, что в ARP должно быть прописано 16 записей
Static-Lan-IP1-MAC1
Static-Lan-IP2-MAC2
Static-Lan-IP3-MAC3
.............................
Static-Lan-IP16-MAC16

где ip3-ip16 наши реальные адреса, а МАС3-MAC16 от балды забитые?

И если можно поподробнее про правило
Кому что должно быть разрешено или запрещено?

Вы про какой ПУЛ говорите? Про внешний или внутренний? Внутренний Вы назначаете самостоятельно, если там два компьютера, то сузьте маску до /30 и не нужно будет создавать фейковых записей.
Правила стандартные. Для понимания логики работы устройства, ознакомьтесь с блок схемой из мануала.

Пул внешний. есть 16 реальных ip-адресов, которые выдал провайдер.

У нас в прозрачном режиме работает устройство. Один ip занимает WAN-порт на Dlinke, другой- LAN порт на Dlinke. Еще два адреса прописаны на 2 компах внутренней сети. Плюс соответственно еще осталось 12 неиспользуемых ip-адресов.
Задача, чтобы эти 2 компа выходили в инет только под выданными им ip-шникам, а при несанкционированной смене ip на этих компах выход в инет блокировался бы.

Так измените в правилах lan_net на соотвествующие ip.

Да, именно так. Создаём привязка 2х адресов и только им разрешаем доступ lan->wan