обращу только внимание на
! -d 172.16.0.0/24: зачем это нужно. Это нужно для того чтобы хосты из подсеит 172.16.0.0, которые потенциально могли бы находиться за маршрутизатором (например удаленные vpn клиенты) не попадали бы под действие этого правила