A solução mais simples é configurar uma ponte, mas use ebtables em vez de iptables para aplicar a regra "somente pacotes de transmissão podem atravessar a ponte". Você deseja definir a política FORWARD como DROP e usar uma regra como:
ebtables -A FORWARD -s FF:FF:FF:FF:FF:FF -j DROP
Isso teria o mesmo efeito, mas deveria contornar as dificuldades que você está vendo.
(Na verdade, não estou convencido de que permitir a transmissão apenas é muito mais seguro do que permitir que tudo passe, independentemente de como você o implementa)