Temat: nietypowy firewall

Witam
Mam takie rozwiązanie iż klient loguje się przez vpn-a do wyodrebnionej sieci za NAT-em w celu dostepu do 1 pc i maszyn produkcyjnych zależy mi żeby ograniczyć ruch wyjściowy z sieci klienta tylko do wybranego IP w mojej sieci  w momencie kiedy loguje się na zdalny pulpit pc ip 192.168.11.1 przez nat może dostać się do sieci 192.168.10.x nadmienię że vpn-em nie wychodzi  i jest ok
wygląda to tak
client vpn -->  mojISP->przekierowanie portu vpn na moj (ruter1)firewall+nat sieć 192.168.10.x->z mojego router1 dalej przekierowuje vpn- a na (router2)  firewall+nat+servervpn , IP wan z mojej sieci 192.168.10.200 lan adesacja klienta 192.168.11.x>przez tunel  vpn klient łaczy sie do zdalnego pulpitu PC ip 192.168.11.1 i z tego pc muszę ograniczyć ruch tylko do 1 serwera
czy można na fw tak ustawić regułe żeby pc z ip 192.168.11.1 wychodził tylko do wybranego IP z sieci 192.168.10.150
wole zapytać żeby nie narobić bałaganu
standardowo jest robiony forward src lan dst wan jako zone czyli wszystko z lan przerzucane jest na wan
jak aby była wasza sugestia
moje kombinacjie
zablokowanie forwardu tylko dla sieci klienta zeby vpn sie nie posypał wink
    config rule
        option src lan
        option dest wan
        option src_ip 192.168.11.1 moze tu można całą sieć 192.168.11.0/24 ??
        option target REJECT
i nastepna regułą puscić tylko wybrane IP
         option src lan
        option dest wan
        option src_ip 192.168.11.1
         option dst_ip 192.168.10.150
        option target Accept

jesli tak to co z regułą
forwarding lan -> wan

Bardzo wdzięczny będę za info

TPlINk wrr1043;)
Printserver , sane , transmission , audioserver , hdd40Gb i co jeszcze upcham wink zobaczymy jak pomyślimy //lol