ACL на порту по source IP

[strix]

Добрый день. Есть задача: ACL на порту по source IP. 
Дано: 
CRS328-24P-4S+RM, routeros 6.47.9. 
Конфигурация: 
Настроены vlan -  в bridge/ports поставлен нужный PVID, например 100. В bridge/VLANs добавлен влан с тегом 100. Порт на котором требуется настроить ACL настроен в untagged.
Проблема: 
1) Если использовать bridge/filter, то при таком правиле:
chain=forward action=drop in-interface=ether3 in-bridge=bridge mac-protocol=ip src-address=!10.100.0.150/32 log=no log-prefix=""
фильтрация не работает.
При этом, если порт вывести из влана (убрать из untagged в bridge/VLANs), то правило начинает работать. Очевидно, что проблема в тэгировании, но как ее решить - не очень понятно. Если в параметрах фильтра указывать 100 влан, то выходит сообщение :
Couldn't change Bridge Filter Rule <00:00:00:00:00:00->00:00:00:00:00:00> - vlan matchers valid only for vlan ethernet protocol (0x8100 or 0x88a8) (6)
Что логично. И если выбрать протокол vlan, то не получится задать source ip.
2) Так же можно попробовать использовать ip firewall, для этого в bridge/settings ставится галка у пункта - Use IP Firewall For VLAN, но при настройке такого правила:
chain=forward action=drop src-address=!10.100.0.150 in-interface=ether3 log=no log-prefix=""
выходит сообщение:
in/out-interface matcher not possible when interface (ether3) is slave - use master instead (bridge)
Но как сделать порт мастером, если он добавлен в бридж? На сколько я понимаю, никак. 

Кто-то сталкивался с данной задачей? Есть варианты решения? Заранее спасибо.

П. С. хотелось бы настроить это именно на routeros.

На swos пробовал, ACL там есть, но почему-то не получилось настроить аналогичное правило - дропать все, кроме указанного ip, то есть символа ! - там нет.