Para bloquear as portas de destino 80,443 de eth0 , você precisa desta regra OUTPUT :
iptables -A OUTPUT -o eth0 -p tcp -m multiport --dports 80,443 -j DROP
Se a conexão tiver origem em um dispositivo diferente do firewall (ou seja, se você tiver o cliente usando o firewall como roteador), será necessário incluir também uma regra FORWARD para bloquear esse tráfego também. Você pode copiar a regra acima e substituir OUTPUT por FORWARD para conseguir isso.
BEGIN EDIT
Observe que, dependendo da sua tabela de roteamento, as conexões da Web de saída com a Internet ainda podem ficar fora de eth0 . Nesse caso, todas as conexões da Web de saída serão descartadas. AFAIK não há nenhuma regra iptables para sobrescrever as definições da tabela de roteamento. Talvez alguém possa lançar alguma luz sobre isso?
END EDIT
Em relação à regra "somente ssh para eth0", use o seguinte:
iptables -A INPUT -i eth0 -p tcp ! --dport 22 -j DROP
Isso eliminará qualquer conexão que não seja tcp/22 em eth0 .
Espero que isso ajude.