Fora da caixa, você tem a garantia de que o iptables será iniciado antes que a interface seja ativada pela ordem dos scripts de inicialização. Olhe para a linha "chkconfig" em cada script de inicialização e você verá os runlevels que estão "ligados" quando ativos, a ordem de início e a ordem de parada.
Você não tem garantia de que a interface não será ativada se o conjunto de regras iptables não for aplicado corretamente (ou de forma alguma).
Exemplo:
chkconfig: 2345 08 92
Esta linha indica que o serviço em questão estará ativo nos níveis de execução 2, 3, 4 e 5, e iniciará às 8 e terminará em 92. Qualquer coisa com um maior valor de "início" começará somente depois que este script for concluído, mas isso erro de script é considerado uma conclusão e não impedirá a execução de scripts downstream.
Por favor, note que esta resposta se aplica ao CentOS 6 e anterior, não necessariamente ao CentOS 7. Eu não pesquisei 7 o suficiente para responder a essa pergunta por 7.