Que mínimo 'permite' deve ser usado nas regras do iptables?

Eu tenho um servidor Ubuntu 14.04 que tem duas portas Ethernet: eth0 conecta-se diretamente a uma câmera personalizada e eth1 conecta via cabo LAN a um roteador sem fio.

Eu estava desenvolvendo um aplicativo da web quando um contratado me pediu para habilitar o SSH que ele poderia instalar ainda outro aplicativo. Dentro de alguns segundos, encontrei no registro duas sondas da China! Eu ingenuamente habilitei o UFW. Nesse ponto, não consegui mais me conectar ao servidor pela LAN (embora o servidor e os outros computadores pudessem se conectar à Internet) e imediatamente removi o SSH. Desde então eu desativei o UFW, decidi usar a porta xxx0 (segurança por obscuridade), e reinstalei o SSH. Eu testei meu servidor e o SSH da LAN e ambos funcionam.

Sou um usuário do LINUX que não é administrador do sistema - e há muito o que aprender!

Minha pergunta novamente é: Quais serviços mínimos eu preciso para um sistema com um servidor e roteador? Isso é suficiente? (Espero anexar um servidor de horário de rede à LAN mais tarde). Uma resposta ao post de alguém implica que o roteador pode precisar de:

iptables -A INPUT -p icmp --icmp-type 3/4 -j ACCEPT 

Eu perdi mais alguma coisa?

# Generated by iptables-save v1.4.21 on Mon Dec 22 09:54:46 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [16:1431]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport xxx0 -j ACCEPT  # SSH
-A INPUT -i eth1 -p tcp -m tcp --dport xxx5 -j ACCEPT  # WWW
-A INPUT -i eth1 -p tcp -m tcp --dport xxx6 -j ACCEPT  # Web Socket
-A INPUT -i eth0 -p udp -m udp --dport xxx8 -j ACCEPT  # camera
-A INPUT -p udp -m udp --dport 53 -j ACCEPT            # DNS
-A INPUT -i eth1 -p icmp -m limit --limit 10/sec -j ACCEPT # LOCAL DEBUGGING - REMOVE?
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j DROP
COMMIT