É difícil "fazer melhor" do que o estoque iptables em servidores Linux, IMHO. A ferramenta é direta, eficaz e conhecida por muitos sysadmins do Linux.
Parece-me que o problema que você está realmente tentando resolver tem menos a ver com o próprio firewall e mais com o gerenciamento de uma política de segurança em vários hosts. Isso fala de gerenciamento de configuração para mim. Existem duas classes de software que você pode usar para resolver esse problema, dependendo do seu conjunto de habilidades e restrições de ambiente: software de automação de infraestrutura como Puppet ou Chef ; ou um de uma grande variedade de softwares de gerenciamento de configuração para Linux: consulte Comparação do software de gerenciamento de configurações de código aberto .
Defina sua política de segurança em termos dos componentes de seu software, suas necessidades e como vários hosts específicos mapeiam esses "papéis". Então você pode definir essa política em termos de gerenciamento de configuração ou software de automação para definir qual política do iptables deve estar em qual host.
Eu reconheço que essa resposta não é muito específica, mas estou feliz em esclarecer se você tiver dúvidas.