Тут вот какие заковырки....

dns получает ответы на порт, номер которого можно гадать на кофейной гуще...(за 1024, по 53-му идут команды и ответы длиннее одного пакета)

почтовик отправляя почту тоже соединяется с удаленным НЕ с 25/tcp, а с портов в local_ports_range.

Наконец апач тоже не всегда принимает/передает данные по 80 порту (см. данный сервер), хотя с ним более всего понятно - у него фиксированный набор портов (а то и вообще только 80/tcp).

В общем - задача сложная...:( Если решать ее средствами ipchains.

Легко можно оценить затраты по передаваемой демону (принимаемой почтовиком) почте и по апачу, но все остальное требует иных подходов (насколько я понимаю).

ну и вдогонку пример

Пусть "наружу" у нас смотрит eth0 с адресом 1.2.3.4 и апач висит на 80 порту. Тогда весь траффик на него попадет под правило:

ipchains -A input -i eth0 -p tcp -d 1.2.3.4/32 80:80

для входящего и

ipchains -A output -i eth0 -p tcp -s 1.2.3.4/32 80:80

для исходящего.

Вот примерно так...