[РЕШЕНО]Блокировка диапазона IP адресов средствами Iptables [SOLVED]

Добрый день, скажу сразу в администрировании Linux очень слаб, была поставлена задача заблокировать набор сайтов(обычный набор для офисов), сквид поставить не могу, блокировка должны быть на определённые адреса, другие не блокировать, доступа к самимм машинам нет(по сути они за роутером и у них всё своё, заблокировать сайты на уровне подмены IP в DNS(хосты и блокировка на самом роутере) не возможно) хотел заблокировать через iptables -m iprange , но не хватает мозгов привельно написать правило с припиской -s их_ip не работает(проверял на другой машине) правило вверху таблицы iptables
-A FORWARD -s 192.168.1.2 -m iprange --dst-range 87.240.128.0-87.240.159.255 -j DROP
пропускает соединения, пробовал *filter в использованием и инпута(хотя насколько я понял маны это коснётся только самого сервера) и форварда, в таблице *nat DROP разумеется не доступен, REJECT вызывает ошибку на строку COMMIT.
Помогите подправить правило, или дать поэтапную инструкцию с действующим образцом чтобы понять мою ошибку.
_____
Решено наведением порядка везде и комментированием всех лишних записей в iptables, при наведение порядка было собрано ядро с ipsec(ниже в ответах указано что эта строка не работает с ipsec), осознанием что записи такого рода лучше писать сразу после вызова *filter, потому что в хламе можно встретить строку -A FORWARD -s 192.168.0.0/24 -j ACCEPT, которая должна быть ниже блокировок.