restringe o tráfego IP entre as subinterfaces da VLAN

Eu tenho um roteador / firewall-PC com duas subinterfaces de VLAN eth2.100 e eth2.200 :

Gostaria de permitir a comunicação entre as redes 192.168.100.0/24 e 192.168.300.0/24 (rede PC3). Além disso, gostaria de permitir a comunicação entre as redes 192.168.200.0/24 e 192.168.300.0/24, mas gostaria de restringir a comunicação entre 192.168.100.0/24 e 192.168.200.0/24, ou seja, entre as redes configuradas para VLAN subinterfaces. Qual é a melhor maneira de conseguir isso? iptables -A FORWARD -i eth2 -s 0.0.0.0/0 -d 192.168.300.0/24 -j ACCEPT em router / firewall-PC com a política de cadeia DROP FORWARD?