o seco, vc quer bloquerar portscaner interno com destino externo?
pois a chain forward é para esta utilização
outra observação vc utilizou no final do firewall input -j drop e forward -j drop
por que vc fez isso se vc definiu a politica padrao dos pacotes no inicio como drop, estas 2 linhas são desnecessarias