Pokud náš bridge, tak veškerý L3 provoz musí jít přes ten bridge = IP adresa jen na bridge interface a v žádném případě žádná ip adresa na fyzických interface v daném bridge. Někdy to zdánlivě funguje, ale dělá to bordel.
Primárně by se měl provoz filtrovat na L3 firewallu = mezi různými L3 interface (v tvém případě asi mezi různými bridge). Filtrování provozu na úrovni bridge sice možné je, ale je to spíše pro specifické situace a je to svým způsobem prasečina. Za 15 let co dělám sítě jsem filtr na bridge v podstatě nepotřeboval použít.
K mazání DNS cache skriptem: máš snad pocit, že jsi objevil nějakou zásadní chybu v desítky let fungující specifikaci systému DNS? Máš pocit, že kdyby existovala jen minimální potřeba cache pravidelně promazávat, nebyla by tam ta volba od výrobce, nebo by to nebylo specifikováno v RFC?
K těm obrázkům. Jsi si jist tím, že chápeš, co je síťová maska?
Pokud dáš do pravidla 192.168.1.0/24 je to úplně to samé, jakoby jsi vyrobil pod sebe 256 pravidel s adresami 192.168.1.0/32 - 192.168.1.255/32. Můžeš to ale zapsat třeba 4mi pravidly s maskou /26.