Seu instinto inicial está correto. A primeira regra deve ser "permitir todos os pacotes deste intervalo de origem", seguida pela regra "meter incoming packets". As regras do IPTABLES são avaliadas na ordem em que aparecem, com o primeiro jogo vencendo. A única coisa que eu faria de maneira diferente seria fazer com que a política INPUT DROP, em vez de ter uma regra DROP explícita no final da cadeia LOGDROP. Isso, porém, é uma preferência puramente pessoal. Tudo o que realmente faz é ter uma regra a menos em uma cadeia para olhar quando você a lê com olhos humanos.