Normalmente, neste tipo de hardware, eu esperaria que a parte de switch fosse operada por um componente de hardware dedicado (ou seja, o Linux embarcado não veria 8 interfaces independentes e não cuidaria da ponte). Portanto, ebtables / iptables não teriam efeito sobre isso.
Mas o objetivo de colocar suas máquinas no mesmo switch e no mesmo segmento de rede (192.168.0.x) é permitir que elas se comuniquem umas com as outras.
Primeiro, você não pode atribuir uma rede diferente a cada máquina? Ou seja: 192.168.port.0 / 24 para cada porta (ou mesmo 192.168.port.0 / 30). Em seguida, no nível de IP, as máquinas devem usar o roteador para se comunicar, e você pode usar o iptables para evitar isso (se o roteador só vir uma porta para o switch inteiro como esperado, não permitirá o tráfego vindo dessa porta e encaminhará para essa mesma porta).
Isso é um mínimo, mas, devido à troca, ainda é possível que uma máquina se comunique com outras pessoas (por exemplo, spoofing de endereço IP, outros protocolos além do IP, quadros Ethernet especialmente criados etc.). Para melhor isolamento (no nível do switch), use VLANs para garantir que as máquinas só possam ver o roteador no nível Ethernet.