Eu descobri como fazer isso eu mudei o csf.pl com o seguinte:
Em sub linefilter
eu troquei o $ inadd (na linha 1923).
original:
my $inadd = "-I";
if ($ad eq "deny") {
$inadd = "-A";
novo:
my $inadd = "-A";
if ($ad eq "deny") {
$inadd = "-I";
Eu percebo que o original é o caminho mais comum, mas se você quiser filtrar portas / ips específicas, esta é a solução. Apenas certifique-se de ter seu próprio ip (externo) na lista de ignorados, ou você tem acesso físico fácil (ou kvm sobre ip, etc) à máquina, para que você não fique bloqueado acidentalmente!