Não há garantia de que lo seja inicializado primeiro (pode acontecer de ser configurado desta forma agora, mas isso não significa que tem para ser assim e pode de fato ser alterado em algum momento) ponto no futuro).
Mas por que associá-lo a uma interface de rede? Basta adicionar um script de inicialização personalizado ou um serviço systemd que você carrega antes que a rede seja inicializada e que execute os dois comandos para inicializar o firewall. Você está feito. É assim que eu configuro meus firewalls de qualquer maneira ...