A melhor maneira de configurar isso é negar tudo por padrão entre as três zonas e permitir somente as portas conforme necessário. Você deve criar um conjunto de regras para INTERNET < - > Tráfego DMZ, INTERNET < - > Tráfego privado e DMZ < - > Tráfego privado. Todos os conjuntos de regras devem ser negados todos por padrão. Então, conforme necessário, abra portas específicas.
Outra prática recomendada é abrir apenas portas de e para IPs específicos. Se você pretende modificar apenas um servidor da Web específico com DMZ_IP_X sobre SSH de uma máquina específica com PRIV_IP_Y, abra a porta 22 somente de PRIV_IP_Y para DMZ_IP_X e nem todo o tráfego na porta 22 de PRIVATE para DMZ.
Em essência, você quer tratar sua DMZ como se fosse outra zona privada. A única diferença real é que você deve desativar o DHCP em sua DMZ e ter regras de roteamento separadas para permitir que essas máquinas conversem diretamente com a Internet. No que diz respeito às regras de firewall, você ainda deseja negar tudo por padrão, abrindo apenas portas específicas conforme necessário.