Citação Postado originalmente por PEdroArthurJEdi Ver Post
Pelo que eu entendi você deve ter feito o seguinte:

# brctl addbr br0
# brctl addif br0 ath0
# brctl addif br0 ath1
# brctl addif br0 ath2
# brctl addif br0 ath3

Ai você bloqueou a comunicação entre os clientes associados ao mesmo BSSID. Porém, os clientes de diferentes BSSID continuam se comunicando. Sua interface cabeada (eth0) faz o roteamento dos pacotes.

A opção --physdev-is-bridge só irá bloquear pacotes que queiram atravessar a bridge (através do enlace). Pacotes que irão atravessar a rede (através do roteamento) não serão inspecionados pela regra.

Caso sua eth0 também faça parte da bridge, você pode fazer:

iptables -A FORWARD -m physdev --physdev-out eth0 -j ACCEPT
iptables -A FORWARD -m physdev --physdev-in eth0 -j ACCEPT
iptables -A FORWARD -m physdev --physdev-is-bridge -j DROP

O que está sendo dito: Se o pacote for sair pela porta eth0, aceite. Se o pacote estiver entrando pela eth0, aceite. Se o pacote for atravessar o enlace, derrube.

Portanto, o enlace só será transponível se a interface de fonte/destino for a eth0.

Qualquer coisa pode perguntar que eu tento esclarecer!

Ok. a bridge ta assim :

# brctl addbr br0
# brctl addif br0 eth0
# brctl addif br0 ath0
# brctl addif br0 ath1
# brctl addif br0 ath2
# brctl addif br0 ath3
Depois defino um ip para a bridge para poder ter acesso via ssh, pois esta cpu não tem placa de video. é somente uma bridge de wireless mesmo.

Fico muito grato pela ajuda de vocies, especialmente EdroArthurJEdi e o Grayfox !

Não testei ainda mas vou testar a solução do EdroArthurJEdi e se funcionar nem parto para a outra. Mas posto os resultados aqui para voceis.

E mais uma vez obrigado nota 1000.