Jól vannak azok ott, ahol vannak... Minden sz...rt, meg az explicit rule-lal nem engedett forgalmat kihajítja. A default policy-t tessék DENY-re állítani, a szükséges forgalmakat explicit módon engedni, utána berakni egy-egy rate-limittel megspékelt logolást külön tcp, udp, meg icmp-forgalomra, majd sasolni a logot, hogy mit felejtettél ki.
Ja, a forward-hoz meg fölösleges nyúlni, az pláne jól van (bár state-től függetlenül lenne a korrekt, hacsak nem tűzfal/router a kicsike...)