so um detalhe..

Para travar o roteamento entre redes faz o seguinte:
/sbin/iptables -A FORWARD -p tcp -s 192.168.2.0/24 -d 192.168.3.0/24 -j DROP

essa regra ae é desnecesaria.. pois por default isso ae ja estaria trancado.. pois a politica padrao do FORWARD ja foi setada como DROP no script..

no uso das politicas em DROP vc so usa o target ACCEPT .. pois todo o resto por default ja esta trancado..