Az RB4011-nél az OP által megjelölt 2-3-4-5 és 6-7-8-9 portok (a két bridge portjai) külön switch chipre vannak kötve, és a kettő között a CPU az átjárás. Szóval ebben a vázolt felállásban mindenképp átmegy a CPU-n a forgalom, fizikailag nem lehet másképp. Meg egyébként minden forgalom átmegy a CPU-n, ha nem egy bridge-en belül vannak a portok (akkor is, ha az adott két port fizikailag ugyan arra a switch chip-re kapcsolódik.). Szóval a két bridge közötti forgalom mindenképp átmegy a CPU-n.
Azt viszont nem értem, hogy a bridge VLAN filtering hogyan emeli layer3-ra a dolgot, hogy IP alapon szűrhetővé váljon (mert a VLAN tag-elt forgalom az ugyan úgy layer2 mint a VLAN tag-ek nélküli forgalom), mikor az kizárólag annyit szabályoz (erősen egyszerűsítve), hogy az adott bridge-en csak a definiált VLAN-ok közlekedhetnek, vagy bármilyen VLAN tag átmehet.
Persze bridge filter-rel is meg lehet oldani, hogy a két bridge-en állítok kézzel admin MAC címet, és a megfelelő bridge-re felveszem az input vagy output chain-en a másik bridge MAC címével a DROP-ot. De szerintem ennek RB4011-nél semmi értelme, mikor ennek a switch chip-je (RTL8367) nem tud filter szabályokat kezelni, így a bridge filter-t is CPU-ból valósítja meg ez a router, így kézenfekvőbb az /ip firewall filter megoldás szerintem.