In effetti...non li ho mai usati come firewall, e non ho mai neanche guardato come si comportano con questa configurazione, e ti ho fatto fare almeno una cosa sbagliata... i dns ...avendo spuntato dns proxy, ai clients come dns viene settato 10.15.2.1, prova ad aggiungere 2 regole all'inizio,
1 input int. lan(*), s.ip.addr 10.15.2.0/24, proto udp, dport 53 accept
2 input int. lan(*), s.ip.addr 10.15.2.0/24, proto tcp, dport 53 accept
..Ma non sò se le regole venngono applicate sulla chain di input o di forward....prima di fare eventualmente le modifiche, con la config. che blocca la rete, potresti entrare in ssh dalla wan e postare l'output di
iptables -nLv
Sorry...
P.S. il ! è un not , ed è una negazione, tipo
port 80 la regola viene applicata alla porta 80 (e se c'è un match con il resto)
port !80 la regola viene applicata se la porta non è la 80 (e se c'è un match con il resto)