Olá amigo, acho que está certo, coloquei REPLY-ONLY justamente na interface local, que está para os clientes.
A Public é a que recebe do roteador.

/ interface ethernet
set Local name="Local" mtu=1500 mac-address=xxxxxxxxx arp=reply-only \
disable-running-check=yes auto-negotiation=yes full-duplex=yes \
cable-settings=default speed=100Mbps comment="" disabled=no
set Public name="Public" mtu=1500 mac-address=xxxxxxxxxx arp=enabled \
disable-running-check=yes auto-negotiation=yes full-duplex=yes \
cable-settings=default speed=100Mbps comment="" disabled=no