Én is nem rég bütyköltem tűzfalat. Javaslatom:
1. OUTPUT NTP mehet részhez: ne engedd globálisan kifele a 123 -as portot, korlátozd -d (destination) fix ntp szerver(ek)hez: time.kfki.hu
és ennek megfelelően konfiguráld az ntp kliensedet
2. OUTPUT DNS mehet, itt is a szolgáltatód fele engedélyezd a DNS kéréseket
3. OUTPUT SMTP, szintén csak a szolgáltatód SMTP szervere fele engedélyezd a kéréseket
4. Az OUTPUT szabályoknál jobb meghatározni a kimenő interface nevét (-o ppp0), így külön lehet (kell) szedni a kifele menő kéréseket. Pl. én kifele menő NEW http, https, ftp, rsync (disztribúció függő) portokat csak a disztribúció frissítéséhez szükséges szervereket engedélyezem
Így hirtelen ennyi, ha még jut eszembe, megírom. Biztos másnak is van még hasznos tippe, tanácsa. Lényeg az szerintem, hogy mindent tilts le, és csak azokat engedélyezd, ami tényleg szükséges és szedd szét az INPUT és OUTPUT láncokat interface -k szerint.