1) pas de "mode" sur une techno fibre. Il n'y a pas d'affaiblissement comme sur l'ADSL.
2) les règles firewall n'améliorent pas le débit, c'est même le contraire s'il y en a beaucoup.
3) tu ne peux pas dropper de manière indiscriminante tout le flux entrant (sinon... il n'y a plus de flux qui rentre). Il faut juste des règle pour dropper les flux non established et non related.
4) s'il n'y a pas de règle en out, le allow est implicite.
5) l'update vers le 1.7 est conseillé.

Petite alerte de sécurité par contre. Il n'a aucune règle firewall sur ton ERL (en local sur le routeur ou vers ton LAN).
N'importe qui peut accéder à l'interface de ton ERL de l'extérieur (ou se connecter en ssh). Si en plus tu as laissé les identifiants par défaut (ubnt ; ubnt) c'est un beau cadeau que tu fais à n'importe quel attaquant qui aura crawlé le web jusqu'à ton IP et qui aura scanné le port 443 ou 22
Et ton LAN n'est pas forcèment plus en sécurité même si tu es sûrement un peu "protégé" à cause du nat entre ton IP publique et l'IP privée de ton ERL qui empêche d'accéder directement à tes équipements depuis le web.
Mais rien n'empêche quelqu'un de venir bidouiller ton ERL et s'aménager une porte d'entrée pour accéder à n'importe lequel de tes équipements.

D'ailleurs si ton ERL est up depuis un petit moment et que tu as laissé les identifiants par défaut, il y a de forte chance que quelqu'un se soit déjà connecté et ait fait son oeuvre. Ce qui peut expliquer tes drops si du flux non souhaité passe régulièrement.
Je te conseille de réinitialiser complètement l'ERL (avec le bouton poussoir en façade) et de repasser une configuration avec des règles firewall plus strictes. En espérant qu'il n'ait pas bidouillé un truc pour que lors du reset, sa porte d'entrée soit réinstallé. Pas vraiment malin ta configuration si tu veux mon avis.

Voilà une config "par défaut" où tu trouveras des règle firewall de base pour dropper le flux non sollicité, ne pas oublier d'appliquer les règles sur l'interface WAN (PPPoE dans ton cas).
firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "Internet to the LAN"
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "Internet to the router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            interface-type pppoe
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        hello-time 2
        max-age 20
        priority 32768
        promiscuous disable
        stp false
    }
    bridge br1 {
        aging 300
        bridged-conntrack disable
        hello-time 2
        max-age 20
        priority 32768
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        address 192.168.1.254/24
description HOME
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description INTERNET
        duplex auto
        speed auto
        vif 835 {
            address dhcp
            description FTTH
            pppoe 0 {
                default-route auto
                firewall {
                    in {
                        name WAN_IN
                    }
                    local {
                        name WAN_LOCAL
                    }
                }
                mtu 1492
                name-server auto
                password secret
                user-id fti/user
            }
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description tv
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description tv
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
        vif 851 {
            bridge-group {
                bridge br1
            }
            description voip
            egress-qos "0:6 1:6 2:6 3:6 4:6 5:6 6:6 7:6"
        }
    }
    ethernet eth2 {
        address 192.168.2.254/24
        description LIVEBOX
        duplex auto
        speed auto
        vif 835 {
    description FTTH
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description tv
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description tv
        }
        vif 851 {
            bridge-group {
                bridge br1
            }
            description voip
        }
    }
    loopback lo {
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name livebox.lan {
            authoritative enable
            description livebox.lan
            subnet 192.168.2.0/24 {
                default-router 192.168.2.254
                dns-server 192.168.2.254
                lease 86400
                start 192.168.2.1 {
                    stop 192.168.2.9
                }
            }
        }
        shared-network-name home.lan {
            authoritative disable
            description home.lan
            subnet 192.168.1.0/24 {
                default-router 192.168.1.254
                dns-server 192.168.1.254
                lease 86400
                start 192.168.1.1 {
                    stop 192.168.1.99
                }
            }
        }
    }
    dns {
        forwarding {
            cache-size 1000
            listen-on eth0
            listen-on eth2
        }
    }
    gui {
        https-port 443
    }
    nat {
        rule 5010 {
            outbound-interface pppoe0
            type masquerade
        }
    }
    pppoe-server {
        authentication {
            local-users {
                username fti/login {
                    password pass
                }
            }
            mode local
        }
        client-ip-pool {
            start 192.168.2.11
            stop 192.168.2.19
        }
        dns-servers {
            server-1 80.10.246.2
            server-2 80.10.246.129
        }
        interface eth2.835
        mtu 1492
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
        disable
    }
}
system {
    config-management {
        commit-revisions 50
    }
    host-name ubnt
    login {
        user ubnt {
            authentication {
                encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
            }
            level admin
        }
    }
    name-server 208.67.222.222
    name-server 208.67.220.220
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
    time-zone Europe/Paris
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */

1) la fibre ne change rien au protocole de transport, c'est dépendant entièrement dépendant du type d'application réseau utilisé et la fibre ne joue aucun rôle à ce niveau.

3) une règle drop ne fait qu'ignorer un type de flux de manière silencieuse. C'est l'argument sur le state qui spécifie le type de flux que l'on veut ignorer. Les tentatives de connexion initiées depuis l'extérieur correspondent au state "new".
Je te conseille d'utiliser les règles firewall (local et in) dans la config que je t'ai donnée, ils permettent de bloquer les flux non sollicités initiés de l'extérieur (new et invalid). Les deux autres type (established et related) sont nécessaires pour un bon fonctionnement sur un réseau domestique normal.
En out, pas la peine de filtrer sauf si tu sais ce que tu fais.



Si ce n'est pas une fonction que tu utilises (se connecter sur l'ERL depuis l'extérieur en ssh), tu devrais bloquer l'accès. Tu es dépendant de la moindre faille sur le service ssh et le fait que tu aies changé tes identifiants ne te protègera pas.
Sans parler des attaques en brute force sur tes identifiants (bon si tu vois des milliers de requêtes, tu commences à te douter).

Si tu as des ouvertures réseau à effectuer, tu peux le faire avec la fonction Port Fowarding plus tard.

Par contre j'ai quelques problèmes, j'ai l'impression que la connexion n'est pas très stable et que je perds des paquets.
Parfois, les sites mettent du temps à répondre, ou se chargent mal, quelques lags quand je joue, et des archives téléchargées corrompues

c'es trop peu précis pour qu'on t'aide ou diagnostiquer quuoique ce soit.

"perds des paquets" ? la plus part des transferts sont en TCP donc soit ca retransmet soit ca met un message d'erreur clair au bout d'un moment.

"archives téléchargées corrompues" jamais vu ca ... sauf corruption a la source ou localement sur le disque ? a moins de télécharger en UDP (?!).

pour "les sites qui mettent du temps a répondre", ça peut être le serveur DNS mal configuré. Sinon F12 (ou equivalent) sur le navigateur pour voir ce qui cloche.