Что-то я не понимаю как это работает.
Стоит firewall + внешний интерфейс.
INPUT & OUTPUT - ACCEPT as default.
никаких цепочек кроме 2-х в INPUT и OUTPUT:
-A INPUT -j LOG --log-prefix "** INPUT **" --log-level 7
-A INPUT -j DROP
-A OUTPUT -j LOG --log-prefix "** OUTPUT **" --log-level 7
-A OUTPUT -j DROP

В логах наблюдаю следующее:

** INPUT **IN=eth0 OUT= LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=50761 DF PROTO
=TCP SPT=2586 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0

** OUTPUT **IN= OUT=eth0 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=445 DPT=2586 WINDOW=0 RES=0x00 ACK RST URGP=0

Если в INPUT пакет на 445 порт был порезан, то как с него потом отвечают? да и кто?