iptablesを使用してゲストオペレーティングシステムに送信されたパケットをブロックすることはできません。

私のホームワークステーションはWindows OSゲストを実行しており、ブリッジ（OVSブリッジ）を介してbr-exに接続されています。 enp0s25 は br-ex ovs ブリッジに接続された LAN NIC です。ホストオペレーティングシステムのIPは194.168.1.4で、ゲストオペレーティングシステムのIPは194.168.1.5です。ホストでiptablesを使用すると、SSHを除くすべてがブロックされます。ただし、まだRDPを使用してゲストOS（194.168.1.5）に接続できます。私はそれを許可するものが何であるかを理解しようとしています。

[root@workstation ~]# ovs-vsctl show
35d1e142-cf99-44de-85e7-f21276acd9dc
    Bridge test-br
        Port test-br
            Interface test-br
                type: internal
    Bridge br-ex
        Port "vnet0"
            Interface "vnet0"
        Port br-ex
            Interface br-ex
                type: internal
        Port "enp0s25"
            Interface "enp0s25"
    ovs_version: "2.9.3"
[root@workstation ~]#

5: br-ex: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default qlen 1000
    link/ether 38:ea:a7:5e:54:86 brd ff:ff:ff:ff:ff:ff
    inet 194.168.1.4/24 brd 194.168.1.255 scope global br-ex
       valid_lft forever preferred_lft forever
    inet6 fe80::9cd2:bdff:fe7f:947/64 scope link
       valid_lft forever preferred_lft forever

[root@workstation ~]# iptables -L

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW,RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     all  --  localhost            anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh ctstate ESTABLISHED
ACCEPT     all  --  anywhere             localhost