A regra
iptables -A FORWARD -s 192.168.*.0/24 -d 192.168.2.0/24 -j DROP
ficaria
iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.2.0/24 -j DROP
mas iria bloquear 192.168.2.0 a não ser que você use seu exemplo
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.2.0/24 -j ACCEPT
(tudo que vem de e vai para 192.168.2.0/24 - aceitar)
ou
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.2.254/24 -j ACCEPT
(tudo que vem de 192.168.2.0 e vai para 192.168.2.254 - aceitar * achei estranho esta regra)
antes, isto é, libere primeiro o que você quizer e depois bloqueie o resto.
Isto já responde a sua segunda pergunta, isto é, o iptables atende às regras na ordem em que elas foram informadas. Se você quizer pode colocar uma regra no inicio da file substitua o -A por -I (iptables -I ....). Atenção: 3 regras com -I iria ordenar assim:
iptables -I ... (terceira regra -I inserida)
iptables -I ... (seginda regra -I inserida)
iptables -I ... (primeira regra -I inserida)
iptables -A ... (primeira regra -A inserida)
iptables -A ... (segunda regra -A inserida)
iptables -A ... (terceira regra -A inserida)
etc....
Todas as regras no iptables recebem um número e voce pode inserir uma regra usando a ordem numerica (tipo inserir na posição 5). Veja em man e leia o iptables howto.