ad hosté:
Až si přidáš další LAN síť, oddělenou, budeš muset řešit její oddělení a routing, takže virtuály řešit separátně nemusíš, pokud neccheš, aby měly vzhledem k druhé LAN síti jiná opravnění, než mají nevirtuály v síti 192.168.88.0/24

To pravidlo, které jsi uvedl nebude mít žádný účinek. Pro vytvoření hostovské sítě budeš muset jeden port vyčlenit mimo stávající bridge a rozhraní, o která půjde budou bridge a LAN_net5 port (řešíš routing mezi LAN segmenty), gateway řešit budeš jen s ohledem k přístupu LAN_5 do internetu.


ad DNS:
V tomto případě bys musel pro dané IP adresy VPC přidat pravidla do INPUT tabulky, která zakáží přístup daným dvěma IP na porty 53/TCP a 53/UDP