Én azt szoktam csinálni - nem tudom mennyire rossz dolog - hogy default policy ACCEPT, és a lánc végén van két rule, az egyik a LOG-ba irányítja a nem engedett forgalmat, utána pedig DROP. Persze éles rendszernél a LOG-os sort kiveszem, de így el tudom küldeni a DROP-olandó csomikat debug céljából a syslogba. Ez mondjuk azért jó, mert soxor futottam már rá, hogy ennek-annak kellett ez-meg-az és valahol le kell fülelni a hiányzó portot. Szerintem ha a default policy a DROP akkor nem lehet LOG-olni...
Javítsatok ki kérlek ha tévednék.