Super. Teď bych vzal ten forward chain a předělal bych ho tak aby na konci nebylo
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
ale
add action=drop chain=forward
Prostě proto že slušně vychovaný chain končí vždy dropem všeho bez podmínek - zabrání to tomu že se někde výše zapomene něco zakázat. Jinak řešeno, slušně vychovaný chain je postaven stylem "co není povoleno, to je zakázáno".
To bude chtít současně otočit směr/logiku toho pravidla z předchozího kroku.
Pokud je to jasné, pusť se do toho, pokud ne, doptej se.