почему input? может должен быть forward? и что бы всё остальное блокировалось нужно или дефолтную политику сделать FORWARD DROP или в конце добавить правило на forward drop.
Я сделал так: на vps поднял миктротиковский chr и связал его с домашним роутером по VPN. Настроил маршруты и, цепляясь клиентами через VPN на chr, получаю доступ к домашней сети.
