Ola amigo...

Então como está a configuração da politica padrão da sua chain FORWARD?
Que regras você tem ali?

É preciso verificar bem como está a sequencia de suas regras pois se o iptables fizer um "match" em qualquer regra anterior que de alguma forme aceite o trafego ele vai sair fora! Se suas regras de DROP estiverem depois disso elas não terão nenhum efeito! Você pode verificar se suas regras estão tendo match pelos contadores do iptables!

O trabalho de bloquear esse tipo de trafego tem que ser feito na chain FORWARD mesmo a chain INPUT só serve para pacotes direcionados diretamente para o FIREWALL!

Nos de mais detalhes de com está configurado seu firewall para podermos te ajudar melhor!

Falows...

André