Porque a regra
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
com uma política DROP
na cadeia OUTPUT
requer duas coisas que são altamente relevantes aqui:
- A conexão já deve ter sido estabelecida
- A porta de origem deve ser 80 / tcp
As portas de origem abaixo de 1024 são privilegiadas e geralmente não são usadas para conexões de saída, mesmo quando o processo de propriedade do soquete está sendo executado como raiz. É mais provável que você veja um número de porta de origem alto saindo, bem acima de 30000 parece ser comum.
Também não há como estabelecer uma conexão, pois o único tráfego de saída permitido deve estar relacionado a uma conexão já estabelecida.
Assim, na prática, nada pode corresponder a essa regra.
Tente:
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
que deve permitir qualquer conexão de saída para a porta TCP 80 destino onde o tráfego é roteado através da eth0, que é muito mais compatível com o que você deseja.
E, como já foi apontado, não se esqueça de HTTPS, DNS, ...