Acho que encontrei minha resposta aqui e Eu adicionei isso a Administration > Commands
e [Save Firewall]
:
iptables -I FORWARD -s 192.168.1.0/255.255.255.0 -j DROP
Isso parece ter bloqueado o acesso de ambas as extremidades (o convidado não pode acessar o privado, o privado não pode acessar o convidado), o que é ótimo.