IPTables - правило FORWARD для блокировки одного IP на сервере OpenVPN

Question

Мои настройки :

• Ubuntu Server 16.04 @ 10.0.77.6
  
• с Сервер OpenVPN установлен @ 10.0.88.0/24
  
• Клиент настроен с фиксированным IP-адресом 10.0.88.77 (каталог CCD)
  
• Брандмауэр UFW выключен - Использование IPTables.
  

Моя конфигурация IPTables выглядит следующим образом:

Chain INPUT (policy DROP 3 packets, 285 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       16  1344 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2    13362 1632K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
3       14  1148 ACCEPT     udp  --  ens18  *       0.0.0.0/0            0.0.0.0/0            state NEW,ESTABLISHED udp dpt:1194
4        1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     2122  266K ACCEPT     all  --  tun0   ens18   0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2     2267 1963K ACCEPT     all  --  ens18  tun0    0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
3        0     0 DROP       all  --  tun0   *       10.0.88.77           10.0.77.4            ctstate NEW
4      189 12257 ACCEPT     all  --  tun0   *       10.0.88.0/24         0.0.0.0/0            ctstate NEW

Chain OUTPUT (policy ACCEPT 4 packets, 632 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Все работает. Я могу подключиться к серверу OVPN, мой клиент получает правильный фиксированный IP-адрес, настроенный в конфигурации сервера OpenVPN, и я могу просматривать веб-страницы, получать доступ к серверам в локальной сети и использовать DNS локальной сети. Единственное, что не работает, это блокирование доступа VPN-клиента к определенным серверам на стороне локальной сети VPN. Я занимался этим в течение нескольких дней, следуя инструкциям на официальном сайте OpenVPN, и ни одно из правил, которые я использую, не будет блокировать 10.0.88.77 доступ к 10.0.77.4. Вот что я пробовал до сих пор:

sudo iptables -I FORWARD 3 -i tun0 -s 10.0.88.77 -d 10.0.77.4 -m conntrack --ctstate NEW -j DROP

sudo iptables -I FORWARD 3 -i tun0 -s 10.0.88.77 -d 10.0.77.4 -j DROP

sudo iptables -D FORWARD -s 10.0.88.77 -d 10.0.77.0/24 -j DROP

Это проблема порядка правил? Насколько я понимаю, IPTables читает правила сверху вниз, поэтому я бы хотел, чтобы мое правило DROP предшествовало правилу ALLOW. Любая помощь будет оценена.

Спасибо.