Um einen Gateway per iptables abzusichern, braucht man einige Iptables Regeln.
Ich gehe davon aus, daß nur  folgende  Ports offen sein müssen:
  * 80 - HTTP - TCP
  * 22 - SSH - TCP
  * 53 - DNS - TCP
  * 53 - DNS - UDP
  * 1244 - Fastd - UDP

Da bei Connectio nTracking auch noch die Richtung interessant ist, kann man bei Fastd von ein und ausgehend reden. Ausgehen, da ja auch noch Verbindungen zu anderen Servern stattfinden.
Bei HTTP gibt es auch ein und ausgehende Verbindungen, da ja auch apt irgendwie arbeiten muss. z.b.
Bei DNS könne wir nur von ausgehenden Verbindungen reden.
Bei SSH hingehen nur von eingehenden. Selbst wenn der Server per Nagios und SSH gemonitort wird, sind es nur eingehdne Verbingenden.