Я бы еще задал вопрос, зачем вам так детально расписывать с какого ip можно получить доступ к серверам, если вы все равно блокируете пакеты на уровне цепочек INPUT/OUTPUT.
Мой вам совет (прошу прощения, но читать всю тему нет времени). В правилах FORWARD и NAT старайтесь оперировать подсетями, а фильтрацию по ip вести на уровне INPUT/OUTPUT. Так гораздо проще (у самого одно время стоял сервер по раздаче интернета - там SNAT/DNAT работали без проблем).