Подскажите, пожалуйста, по ACL правилам через CLI и направлениям трафика

[AEvgenich]

Добрый день!
Товарищи, прошу помощи. Скажу сразу, сам этот вопрос не осилил.
Попытался нарисовать схему текущей ситуации.
На словах, коротко: на роутере несколько сегментов. Сегмент Home имеет маршруты к сегментам Видеонаблюдение и NAS. Гостевой Wi-Fi только в интернет.
В интернет устройства сети ходят по привычным путям, но до некоторых ресурсов проложены маршруты через Европу.
Когда я со своего телефона по мобильной связи подключаюсь к VPN серверу IKEv2, поднятому на роутере, то получаю статический IP, доступ к сегменту Home, через него в другие сегменты, а так же доступ в интернет с возможностью открывать все нужные ресурсы.

Была задача дать доступ условным друзьям через мой роутер в интернет, но запретить им доступ в локальные сегменты.
Долго искал как... обратился в поддержку и они прислали вот такой вариант (через CLI):

Цитата

access-list vpn
permit ip 172.20.8.1 255.255.255.255 0.0.0.0 0.0.0.0
deny ip 172.20.8.0  255.255.255.0 0.0.0.0 0.0.0.0
interface Bridge0 ip access-group vpn out
interface Bridge2 ip access-group vpn out
interface Bridge3 ip access-group vpn out
interface Bridge4 ip access-group vpn out
system configuration save

Опыта особого не имею, сел разбираться, чтобы понимать, что я делаю.
Понял, что я даю разрешение "ходить везде" устройству с адресом 172.20.8.1 (мой телефон) и запрещаю всем остальным в данной подсети ходить на интерфейсы Bridge0, 2, 3, 4.
Далее этот список правил назначаем нужным интерфейсам в нужном направлении.
И вот тут я застрял наглухо. Вероятно, я не понимаю каких то принципиальных вещей.
Что за интерфейсы Bridge0, 2, 3 ,4 и почему направление out? Каждый Bridge это один из локальных сегментов?
Перекопал интернет, спрашивал в телеге... увы, не смог разобраться.
Может быть кто-то сможет меня наставить на путь истинный?
Заранее большое спасибо.

PS картинку старался рисовать максимально понятно, насколько хватает моих бытовых знаний сетей.