Bridge com ebtables+iptables (RESOLVIDO)

Estou tentando montar uma bridge transparente para filtrar o acesso de maquinas que estão localizadas em outras redes , a bridge está ok! mas ainda não consegui filtrar o acesso à portas (5900 e 5901 por exemplo), pois o ebtables não faz o bloqueio das portas, somente dos endereços MAC pois atua na camada 2, em alguns sites consta que para isso teria que transferir o trafego para uma interface da minha maquina e filtrar com o iptables. Se alguem tiver experiência com algum caso parecido agradeço pela ajuda.

acrescentei a seguinte regra ao iptables para bloquear o trafego na porta 5900:
iptables -A FORWARD -p tcp --dport 5900 -m physdev --physdev-is-bridged -j DROP

Essa regra pode ser adaptada para bloquear outras portas.