Re-oi!
Tanto na linha 33 como nesta nova entrada em forward você limitou ao TCP. A
maioria dos ataques são em UDP, pois a possibilidade de flood é maior e os
serviços/protocolos envolvidos são mais vulneráveis, como ICMP e DNS. Deu
certo como FORWARD como daria com o INPUT que sugeri. Aliás, você ainda
recebe se não trabalhar o INPUT... Apenas não está repassando (FORWARD).
Abratzo!