Выделить внешний адрес в отдельный порт.

[Triangle]

На внешнем интерфейсе есть пул внешних адресов, как сделать так чтобы выделить конкретный один из них в отдельный физический порт для подключения некоего устройства в этот порт.

[Chupaka]

Можно сделать через NAT 1:1 (два правила, dst-nat и симметричный ему src-nat).

Можно по PPP (например, L2TP) выдать нужный адрес устройству (сложность реализации зависит от того, что именно у вас понимается под "пулом внешних адресов").

Если вы хотите по DHCP выдать этот адрес - то, видимо, придётся потерять 4 адреса (использовать сетку /30 на том выделенном порту). Хотя и тут, по идее, можно нагородить огород с policy routing, чтобы уменьшить потери.

[Triangle]

блок статики внешних. Просто надо подцепить к внешней сети некую коробочку но чтобы она точно ничего кроме своего адреса и гейта не видела.

[Chupaka]

"Блок статики внешних" как на практике реализуется? BGP? Бридж со стороны провайдера? Маршрут от провайдера к вам через адрес интерконнекта?

А если вам надо "чтобы она ничего не видела" - так просто заблокируйте всё, что не надо, правилами IP Firewall Filter

[Triangle]

Провайдер на своем интерфейсе отдает мне сеть. Завтра возьму отдельный маршрутизатор и поиграюсь с утра пока никого не будет.

[Chupaka]

Т.е., видимо, бридж. Тогда можете ещё на роутере создать бридж для WAN и добавить в него WAN и порт устройства. Т.е. коробочка будет работать как будто напрямую с провайдером.