Как изолировать сети с помощью маршрутизатора Mikrotik?

Недавно я получил маршрутизатор Mikrotik для своей сети, и я хочу создать 3 сети, которые изолированы друг от друга, но все имеют доступ к Интернету:

1. "Основная" сеть для ПК и т. Д.
2. Сеть для устройств домашней автоматизации. Я не хочу, чтобы эти хосты имели доступ к другим сетям, но я хочу, чтобы некоторые конкретные хосты в основной сети имели доступ к определенным хостам в этой сети.
3. Гостевая сеть для посетителей. Я хочу, чтобы узлы в этой сети имели только доступ в Интернет и были полностью изолированы от других сетей.

Я смог настроить эти три сети, используя мосты, следуя этим инструкциям, а также имитируя конфигурацию по умолчанию, поставляемую с маршрутизатором.

Похоже, теперь мне нужно определить правила брандмауэра, чтобы блокировать трафик между мостами, и именно здесь мне нужна небольшая помощь. Насколько я понимаю, программное обеспечение брандмауэра Mikrotik основано на Linux iptables.

1. Кажется, что есть два способа сделать это: основная конфигурация брандмауэра в /ip firewall filterи раздел для конкретного моста в /interface bridge filter, Какой из них лучше всего использовать? Каковы плюсы и минусы каждого?

2. Я экспериментирую с фильтрами моста, но рядом со всеми моими правилами есть небольшая иконка полосы движения, которая мне не нравится. Я не могу найти объяснения, что означает значок.

3. Как мне настроить правила? Было бы более легко создать группу отдельных цепочек для каждого моста? Если да, то как должны быть организованы цепочки?

4. Похоже, мне нужно определить forward правила для этого. Есть ли input или же output правила, которые мне также понадобятся?

5. У меня должны быть правила, совпадающие на мостах / интерфейсах (т. Е. На мосту, на мосту, на интерфейсе WAN и т. Д.), Правильно? Например, чтобы блокировать пакеты из основной сети в сеть домашней автоматизации, мне нужны правила, такие как in-bridge=main out-bridge=home_automation action=DROP, верно?