[Sysadmins] bridge для одной машины

[Anton Farygin]

Есть такая картина:
[host1]<->network1(ethernet)<->[host2]<->network2(ethernet)

нужно что бы host1 был по факту прозрачно доступен из network2, но при 
этом машины из сети network1 никаким образом не видели трафик сети network2.

Т.е. - бридж, но на одну машину (потом ещё одна добавиться).

br0 на host2 поднял, всё работает. Теперь собственно вопрос: как на 
host2 запретить пропускать через bridge весь трафик с network2, за 
исключением того, который адресован host1. И аналогично в обратную 
сторону - запретить весь трафик из network1 в network2, за исключением 
трафика от host1.

Я так понимаю, что это делается с помощью ebtables. Но вот правила 
что-то никак придумать не могу. Может быть если у кого-то какие-то идеи 
или опыт постройки такого извращения ?

vpn строить не хочется - он здесь просто не нужен, достаточно простого 
bridge с фильтрацией трафика.

Rgds,
Rider