Uma range de IPs com regras específicas de firewall, diferente de outras ranges

[marciorct]

Quero criar uma range de IPs com regras onde seriam liberadas somente navegação e web-proxy.
Não teria e-mail , MSN, Skype, P2P e coisas do gênero.

Cheguei a estas regras abaixo, levando em consideração o seguinte:
Um range de IPs(192.168.201.0/24) somente que estarão sobre estas regras, os outros ranges seguirão outras já estabelecidas
Somente seriam liberadas as portas 53(DNS), 80(navegação) e 3129(web-proxy)

Regras de liberação e bloqueio de portas:

ip firewall filter add chain=forward src-address=192.168.201.0/24 protocol=udp dst-port=80 action=accept
ip firewall filter add chain=forward src-address=192.168.201.0/24 protocol=udp dst-port=53 action=accept
ip firewall filter add chain=forward src-address=192.168.201.0/24 protocol=udp dst-port=3129 action=accept
ip firewall filter add chain=forward src-address=192.168.201.0/24 protocol=tcp dst-port=80 action=accept
ip firewall filter add chain=forward src-address=192.168.201.0/24 protocol=tcp dst-port=53 action=accept
ip firewall filter add chain=forward src-address=192.168.201.0/24 protocol=tcp dst-port=3129 action=accept
ip firewall filter add chain=forward src-address=192.168.201.0/24 protocol=udp dst-port=0-65535 action=drop
ip firewall filter add chain=forward src-address=192.168.201.0/24 protocol=tcp dst-port=0-65535 action=drop

Fiquei em dúvida se usaria input ou forward nas regras e se bastariam estas regras.

Agradeceria correções e comentários

[Raniel]

INPUT meu caro,
Assim já bloqueia na entrada e não na passagem dos dados.