Was Chris sagt. Zudem:
1. OPT1 nicht mit LAN kommunizieren darf
auf OPT1 Interface: a) block rule opt1 net nach lan net, b) allow any any
2. WAN nicht mit LAN kommunizieren darf
WAN darf per default GAR NICHTS. Das ist eine Firewall, keine Fritzbox :P
3. WAN nur eingeschränkt mit OPT1 kommunizieren dar
(näher: WAN -> OPT1 nur Port 0 - 1023; OPT1 -> WAN nur Ports >=1024)
Warum? Port 0-1023 ist mal unsicher wie nur was, da da unter anderem Ports und Protokolle dabei sind die im Internet kein Mensch haben will oder die nicht verschlüsselt laufen, was man heute ebenfalls nicht haben will. Wenn man schon Ports REIN lassen will, dann nur die Dienste die man auch braucht. Dafür gibt es Aliase und damit kann man das problemlos zusammenfassen (SMTPS/Submission/POP3S/IMAPS bspw.). Aber mal kurz 1024 Ports aufzumachen … kurz nachdenken ... nein! Die andere Anforderung - OPT1 nach WAN >1024 hört sich nach Standard-Antwort Traffic bzw. Client Traffic an. Die Anforderung ist auch quatsch, entweder OPT1 spricht mit WAN, dann geht die Verbindung auf nen Server Port (meist <1024) - der Rest geschieht Stateful (das ist der Job der Firewall, dass man für den Antwort Traffic nicht auch noch Regeln machen muss) oder es geht andersherum, aber auch dann brauche ich keine Regel für Antwort Traffic.
Da du nichts über die Anbindung schreibst (public/private IPs) sollte da noch ggf. NAT ausgeschaltet werden (wenns überall public Adressen sind) bzw. manuell konfiguriert, damit nur das genattet wird was sein muss.
Trotzdem klingt gerade 3. für ein Wohnheim sehr dubios. Da stimme ich Chris zu.
Gruß