Eu acho que você respondeu sua própria pergunta com o último, de executar iptables-save em scripts de resposta ativa. Mas o problema é que, quando você atualiza o OSSEC, essas alterações serão sobrescritas.
Então a melhor opção é configurar o iptables-save no cron ao seu gosto.