Acredito que você precisaria de regras de saída em que altas portas de origem permitissem. Quando o apt se conecta a http, o Linux dará a ele uma porta de origem alta e aleatória (maior que o que estiver em /proc/sys/net/ipv4/ip_local_port_range
). (Não pode ser aleatório, não me lembro). ftp tem modos passivos e ativos também, eu recomendaria fontes http em seu sources.list neste caso.
Portanto, se você alterar suas fontes para http e definir a regra de saída para todas as suas portas efêmeras. Você estará tudo pronto. Se você usa ftp, você precisa descobrir se ele está ativo ou passivo e então adicionar as regras de acordo. Consulte este link para obter uma explicação dos modos ativo / passivo. Eu vejo que você tem aqueles atualmente listados, mas eles parecem ser da perspectiva da caixa sendo um servidor, não um cliente. Com o apt você é o cliente.
Portanto, para portas de origem http:
$ cat /proc/sys/net/ipv4/ip_local_port_range
32768 61000
$IPT -A OUTPUT -p tcp --dport 80 --sport 32768:61000 -j ACCEPT
Por fim, você pode registrar pacotes descartados como uma ferramenta geral de solução de problemas do iptables. Consulte este link .