К правилу input drop, ещё нужно forward drop сделать.
Вообще дропать в конце, нужно все пакеты пришедшие на wan интерфейс
З.Ы. Если пользователь к вам уже подключился, то после удаления его из адрес листа, нужно ещё дропнуть его коннект, в ip firewall connections.