Mikrotik - 使用桥接器连接 WAN/DMZ

我不确定我是否以正确的方式处理此事......

我有来自 ISP 的 3 个静态 IP，它们都位于同一个子网中，使用同一个网关。一个地址用于桥接器上的路由器 (RB3011 - 6.43.8)，端口 1-3。ISP 插入端口 1。端口 2 和 3 用于 Web 服务器和电子邮件服务器。LAN 在端口 5 上，我的工作台（客户设备）的单独 LAN 位于使用端口 6-8 的桥接器上。

我无法让 IP 过滤规则发挥作用。我想设置过滤规则，只允许流量流向 Web 服务器和电子邮件服务器上的指定端口，同时阻止所有流向 LAN 子网的端口。

我究竟做错了什么？

/interface bridge 
add name=bridge1-Internet 
add name=bridge2-WorkRoom 
/interface wireless security-profiles 
set [ find default=yes ] supplicant-identity=MikroTik
/tool user-manager customer
set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge1-Internet interface=ether1
add bridge=bridge1-Internet interface=ether2
add bridge=bridge1-Internet interface=ether3
add bridge=bridge2-WorkRoom interface=ether6
add bridge=bridge2-WorkRoom interface=ether7
add bridge=bridge2-WorkRoom interface=ether8
/interface bridge settings
set use-ip-firewall=yes
/ip address
add address=10.10.99.5/24 interface=ether5 network=10.10.99.0
add address=10.10.97.1/25 interface=bridge2-WorkRoom network=10.10.97.0
add address=207.174.237.157/24 interface=bridge1-Internet network=207.174.237.0
/ip firewall filter
add action=accept chain=input connection-state=established,related\
        in-interface=bridge1-Internet
add action=accept chain=input dst-address=207.174.237.241 dst-port=25,80,443,995\
        in-interface=bridge1-Internet protocol=tcp
add action=accept chain=input in-interface=bridge1-Internet protocol=icmp
add action=drop chain=input in-interface=bridge1-Internet
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge1-Internet
add action=dst-nat chain=dstnat dst-address=207.174.237.157\
        dst-port=80 protocol=tcp to-addresses=10.10.99.8
/ip route
add distance=1 gateway=207.174.237.1
/tool user-manager database
set db-path=user-manager