как изолировать vlan

Привет, я новичок в Mikrotik. Подключил два компьютера к коммутатору HP Procurve 2626 с настроенными VLAN. Один ПК в VLAN2, другой в VLAN4. Оба имеют доступ в интернет и видят друг друга. Подскажите, как изолировать эти компьютеры?

Моя конфигурация:  
HP порт 2 — vlan2 untagged  
HP порт 4 — vlan4 untagged  
HP порт 26 — vlan2,4 tagged, подключен к mikrotik ether2  
ether1 подключен к интернету.

[admin@MikroTik] > interface print
Flags: D - динамический, X - отключён, R - работает, S - подчинённый  
NAME                               TYPE               MTU L2MTU  MAX-L2MTU  
0  R  ether1                             ether             1500  
1  R  ether2                             ether             1500  
2  R  vlan2                              vlan              1500  
3  R  vlan4                              vlan              1500  

[admin@MikroTik] > ip address print
Flags: X - отключён, I - недействителен, D - динамический  
ADDRESS            NETWORK         INTERFACE  
0   192.168.3.171/24   192.168.3.0     ether1  
1   192.168.2.1/24     192.168.2.0     vlan2  
2   192.168.4.1/24     192.168.4.0     vlan4  

[admin@MikroTik] > ip route print
Flags: X - отключён, A - активен, D - динамический, C - напрямую подключен, S - статический  
DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE  
0 A S  0.0.0.0/0                          192.168.3.254             1  
1 ADC  192.168.2.0/24     192.168.2.1     vlan2                     0  
2 ADC  192.168.3.0/24     192.168.3.171   ether1                    0  
3 ADC  192.168.4.0/24     192.168.4.1     vlan4                     0  

[admin@MikroTik] > ip firewall nat print
Flags: X - отключён, I - недействителен, D - динамический  
0   chain=srcnat action=src-nat to-addresses=192.168.3.171 src-address=192.168.2.0/24  
1   chain=srcnat action=src-nat to-addresses=192.168.3.171 src-address=192.168.4.0/24  

Подскажите, пожалуйста, как запретить этим двум ПК видеть друг друга?