Микротик около нуля, пытаюсь перестроить сеть в безопасную⁠⁠

Вопрос про VLAN и разграничению доступов в сети с несколькими MIKROTIK свитчами.

Роутер RB4011

К нему подсоединены свитчи CRS324 CRS328 CRS354

Локальная сеть на сейчас без VLAN, в каждом устройстве кроме роутера по 1 бриджу, в который соединены все порты.

Все порты заняты, т.е. нет такого что в бридже пустые порты.

В роутере по настройкам - стандартный квиксет.

Ip адресация.. гмм..

маска подсети у всех устройств в сети 255.255.240.0

Адреса всем выданы из диапазона 192.168.0.1-192.168.15.254 по какой-то умозрительной схеме.

Шлюзы поделаны 192.168.0.1, 192.168.1.1..., 192.168.15.1

На устройствах по большей части все прописано руками, в основном так чтобы для 192.168.15.х шлюзом было 192.168.15.1

Вцелом все работает, но появилась задача:

1) Сделать так чтобы (к примеру) устройства подключенные к порту ETH18 свитча CRS354 не видели ничего кроме устройств подключенных к порту ETH12 свитча CRS236 и устройств подключенных порту ETH6 роутера RB4011

2) Несколько портов (к примеру ETH21 ETH22 ETH23 в свитче CRS354) видели все что есть в сети и могли с этим всем работать.

Решил попробовать это все осуществить с помощью SWITCH RULES, хоть немного снизить нагрузку на свитчи.

Почти все что нагуглил - исходит из того что я уже в теме, хоть частично, какие-то первые шаги настроек уже сделал и вот теперь подсказка как парой правил все изменить к лучшему.

А я НИЧЕГО пока не сделал, мои знания по VLAN немного выше нуля - умею делать гостевые сети для WiFi на основе VLAN, и роутами не давать им доступа в унутрь

Может есть для подобной задачи какой-то мануал с примерами?

Или пример)