同じSSIDにつながる端末間で導通しないように隔離するための設定を理解できていなかったので
試して若干試行錯誤してようやくうまくいった

15.05 か 15.05.1 以降では素に近い状態から設定していくとデフォルトで
hostapdの設定ファイルに ap_isolate=1 が記述されるけど、それだけでは不足だった
・当該のSSIDの(仮想?)Wi-Fiインターフェースを収容するブリッジに hairpin_mode=1 を設定する
・ebtablesでin/outとも当該無線インターフェースを指定して-A(or -I) FORWARD -j DROP させる
(in/out同じってのがやや不自然ですが)

ブリッジに2GHzと5GHz両方収容していて、それらの間も隔離する場合は
ebtablesでその2つをin/outに指定して双方向DROPさせるように設定すればOK そこはごく普通で単純