C'est (je pense) une très mauvaise suggestion qui néglige les capacités de
Connection Tracking de netfilter et la gestion des états. Avec une règle
comme ci dessus, je peux envoyer un paquet "tout pourri", ne faisant pas
partie d'une connection TCP établie, je peux lui positionner avec des flags
TCP n'importe comment, et il passera le firewall !
Le filtrage IP sous linux a grandement évolué depuis les noyaux 2.2 et
ipchains, mettez-vous à jour!
Je suggère pour commencer (en laissant bien sûr les policies sur DROP) :
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Et il y a beaucoup mieux, et plus complet, à faire!