Bualá, gracias de nuevo AleSanchez. La clave está en tener un buen gestor de alarmas para ir averiguando que puertos exige cada aplicación. Gracias al truco recomendado de AleSanchez, iba viendo paso a paso que puertos/interfaz requería en cada momento, hasta que al final, y aplicación x aplicación, iba permitiendo rular todo (vigilando "/var/log/syslog" ).

Hay que tener presente que si aplicas la política de por defecto de cerrar todo:
-P INPUT DROP
-P OUTPUT DROP
luego no se puede visualizar errores en "syslog", dado que el filtrado realizado por la regla en el TARGET (iptables -P ...) no son igualmente accesibles que los errores generados por las diferentes políticas (iptables -A ...)
Así que x defecto, abiertos, ejecuto el script y sus diferentes errores, para finalmente cerrar todo, bueno, el resto.)