faça assim:
iptables -A FORWARD -d REDE -m state --state RELATED,ESTABLISHED -j ACCEPT
iptablse -A FORWARD -d REDE -j DROP
com isso vc soh deixa os pacotes que os proprios clientes requisitaram entrar na rede interna, e bloqueia qq tentativa de conexao direta com eles
oq isso pode implicar? o msn nao mandar + arquivos, o skype tb nao conectar,etc...