Você deve definir sua política de cadeia INPUT como DROP, sua política de cadeia de OUTPUT para ACCEPT e, em seguida, abrir apenas as portas que você deseja permitir. Algo parecido com isto:
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP # Probably a good idea too.
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# Now allow TCP SYN packets in to certain ports. Once they are ACK'ed,
# the above rule for ESTABLISHED connections takes over and lets traffic flow.
/sbin/iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT