Eu tive o mesmo problema - usando um contêiner OpenVZ, o HTTP e HTTPS de saída foram bloqueados quando o filtro de entrada estava ativado; tudo foi bloqueado quando o filtro de saída estava ativado.
A solução é definir a configuração IPTABLES do seu contêiner do seu hardware. No meu servidor, o padrão era (em /etc/vz/vz.conf no hardware):
IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length"
Eu fiz a sobrescrita na configuração do meu contêiner (/etc/vz/conf/CONTAINERNUMBER.conf no hardware)
IPTABLES="iptable_filter iptable_mangle ipt_limit ipt_multiport ipt_tos ipt_TOS ipt_REJECT ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_LOG ipt_length ip_conntrack ip_conntrack_ftp ip_conntrack_irc ipt_conntrack ipt_state ipt_helper iptable_nat ip_nat_ftp ip_nat_irc ipt_REDIRECT"
Não sei exatamente qual deles fez isso, mas depois de definir isso e reiniciar o contêiner, o APF funcionou exatamente como esperado.