iptables+bridge

Например, есть сервер с виртуализацией (может быть просто 2 сетевых интерфейса), где сетевые карты виртуалок сидят в бридже с основным интерфейсом, например vmbr0 с eth0 и veth100.0
Если просто вешать правила на хост-ноде, даже при policy DROP хост-нода станет недоступна, но виртуалки будут спокойно ходить через бридж. Это потому, что бридж это L2, и тут нужен ebtables и это будет примерно так
ebtables -A FORWARD -p ip --ip-source 192.168.253.1 --ip-destination 192.168.253.2 -j DROP

Если же нет нужных модулей под ebtables или хочется/нужен iptables, нам в помощь приходит
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
(через sysctl)

А с учётом интерфейса -- нужен physdev

Линки
http://toster.ru/q/29447
http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html
http://www.cyberciti.biz/faq/debian-network-interfaces-bridge-eth0-eth1-eth2/