O ubuntu não é uma boa escolha pra ser gateway da rede. Você tem sistemas prontos especializados com muito mais recursos, como o pfsense e o endian.
Sobre as regras que você está colocando, observo que ela está filtrando o ip de origem ("... ip src..."). Veja se há alguma regra que aceite o IP de destino. Aproveite e veja a documentação, veja se a regra aceita um endereço FQDN --- o iptables, por exemplo, aceita, e se vira pra desdobrar as atualizações e múltiplos IPs.
Sobre o uso do squid, nesse caso você precisa estar usando proxy configurado ou WPAD, pois o windows update usa HTTPS --- que não passa no proxy transparente. Mas, resolvido isso, torna-se uma boa opção, visto que além de ser bem mais fácil de fazer controle de banda, também vai otimizar o tráfego, visto que todas as estações do windows 10 vão tender a baixar os mesmos conteúdos.
Mas insisto: seria melhor você estar fazendo isso com uma distribuição especializada.
EDIT: Outra coisa que lembrei... é possível, aliás, é provável, que boa parte desses servidores já esteja trabalhando em IPv6, o que inviabilizaria suas regras, a menos que vc consiga replicá-las totalmente. O iptables não trabalha com IPv6, há uma outra interface ("ip6tables") específica pra isso.