下図のような構成になっている場合、ルータ側でこのようなことは制御を行うことは可能でしょうか?
(図示のとおり、各セグメントのデフォルトゲートウェイは末尾254です。)

画像の説明をここに入力

■やりたい事
source: 172.16.1.100のクライアントから
dst: 192.168.1.20へのアクセスだけを許したい
(同セグメントに存在している192.168.1.200へのアクセスは禁止)

ルータになりうるのはCisco機器 or VyOSなので
アクセスリストかiptablesどちらかでの対応となります。
(Cisco機器ではできました)

調べたところソース元IPで制限をかける場合はPBR(ポリシーベースルーティング)?を利用しないとできなさそうなのですが、iptablesでそれを行うことは可能でしょうか?

お詳しい方いらっしゃいましたら経路の制御を行う書き方
(iptablesでの制御 or VyOSでの書き方)を教えて頂けませんでしょうか?