Не надо ничего дропать, это же вообще все ваши пакеты входящие.
Этого одного правила достаточно - оно меняет всем пакетам ttl: если адресатом является следующее устройство - оно пакет получит, передать дальше уже не сможет.
Ну при условии, конечно, что хитрый пользователь при раздаче интернета через себя не провернет обратную процедуру.
Но это самое простое, что можно попробовать.
Если они у вас в одном бридже, то логично.
Они не самостоятелельны на IP уровне и у firewall’а нет контроля над тем, через какой именно интерфейс уйдет пакет.