Я лично вообще не вижу смысла с этих списков, тут пишут что "сервер" и "админ" понятно
а мне непонятно, чем они отличаются от простых юзеров по сути, если подходить со стороны свойства "есть-нету доступ в интернет". зачем делать отдельно группу "блок", чтобы в нее включать тех, кто не заплатил? Почему, если уж все так по-тупому в лоб, то не вбить туда всех, кто не входит в другие группы?
А главное - почему не сделать в конце правило "запретить все входящие пакеты на локальный интерфейс"? Главное чтобы оно было последним, а до него - разрешающие правила для группы "юзеры", ну и, если угодно, "админ" и "сервер".