1. pokud neroutuješ mezi rozhraními v LAN (tj. jsou v bridge), tak povolení forwardu pro LAN řešit nemusíš
2. v podstatě stačí zakázat v tabulce forward směr od 192.168.88.201 kamkoli (0.0.0.0/0), dtto pro druhý VPC a obráceně 0.0.0.0/0 směr 192.168.88.201 (pokud máš nějak složitěji mapovaná pravidla pro portforwarding, pokud máš běžný NAT, není toto potřeba)

edit:
stačí tedy toto:

action: drop
chain: forward
src. address: 192.168.88.201
dst. address: neuvedeno
in interface: bridge (nebo nemusíš uvádět)
out interface: gateway (neb nemusíš uvádět)