Не работает Transparent firewall

Задача запретить доступ в интернет,но оставить доступ в локальную сеть.
1.Задаю 1 интерфейсу адрес для управления.
2.Создаю бридж и пихаю туда 2 порта-в них будет разрыв кабеля,который идёт к хабу.
3.Включаю Use IP firewall в настройках бриджа.
4.Пишу правило на цепочку форвард дропать пакеты которые не относятся к локальной сети.
и пакеты через это правило не ходят((( Что я делаю не так?

/interface bridge
add name=bridge-ohrana
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge-ohrana interface=ether4
add bridge=bridge-ohrana interface=ether5
/interface bridge settings
set use-ip-firewall=yes
/interface list member
add interface=ether1 list=WAN
add interface=bridge-ohrana list=LAN
/ip address
add address=192.168.0.164/22 interface=ether1 network=192.168.0.0
/ip firewall filter
add action=drop chain=forward dst-address=!192.168.0.0/22 src-address=\
!192.168.0.0/22
/ip route
add distance=1 gateway=192.168.1.60

 

Убрал шлюз,указал в правиле фаервола вкладка адвансед ин бридж интерфейс тот порт в которой воткнут пк а аут бридж интерфейс порт с интернетом-первый и всё заработало.Со 2 по 4 порты есть и инет и локалка,в 5 только локалка первый аплинк.

/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether1
/interface bridge settings
set use-ip-firewall=yes
/ip address
add address=192.168.0.164/22 interface=ether1 network=192.168.0.0
/ip firewall filter
add action=drop chain=forward dst-address=!192.168.0.0/22 in-bridge-port=\
ether5 out-bridge-port=ether1

 

Hardware Offload включён на портах?

 

Выключен.