se nada tá funcionando quer dizer q teu fw tá errado...
digita "iptables -L -n" e cola aqui...
dica, se vc nao quer q nada passe nas portas netbios, tranque-as dessa forma:
iptables -A FORWARD -m tcp -m multiport -p tcp --dports 135,137,138,139,445 -j REJECT
iptables -A FORWARD -m udp -m multiport -p udp --dports 135,137,138,139,445 -j REJECT
iptables -t nat -A POSOTROUTING -m tcp -m multiport -p tcp --dports 135,137,138,139,445 -j REJECT
iptables -t nat -A POSOTROUTING -m udp -m multiport -p udp --dports 135,137,138,139,445 -j REJECT
isso bloqueará as portas MS-RPC (135), NetBIOS (137,138,139) e Microsoft DS (445)...
tudo o q for relativo a essas portas em qq interface será rejeitado pelo roteador....
outra dica é travar cada cliente por ip/netmask/mac/portas...
iptables -A FORWARD -s 192.168.1.2/255.255.255.252 -m mac XX:XX:XX:XX:XX:XX -d 0/0 -m tcp -m multiport -p tcp --dports ! 135,137,138,139,445 -j ACCEPT
iptables -A FORWARD -s 192.168.1.2/255.255.255.252 -m mac XX:XX:XX:XX:XX:XX -d 0/0 -m udp -m multiport -p udp --dports ! 135,137,138,139,445 -j ACCEPT
isso garantirá que caso alguem troque o netmask pra tentar trocar arquivos sem passar pelo seu roteador seja bloqueado... (provavelmente ele vai te ligá pra perguntar pq n tá funcionando e vc vai saber quem tá fazendo coisa errada...)
outra dica é implementar solucoes como PPPoE, fazendo com que o usuario "disque pra internet" pra poder se conectar... aqui na UL tem um tutorial de como fazer isso...
Caso use um switch gerenciável, tb tem como fazer isso pelo switch (coisa q eu acho meio dificil... mto pouca gente tem $$ pra ter um desses)