При использовании iptables при реализации защиты "Разрешить всё что нужно, а всё остальное запретить" возникает проблема - нужно прописать ооочень много IP-адресов различных серверов, чтобы панель управления и другое ПО на сервере работало корректно т.к. при TCP-соединении сперва мой сервер посылает запрос с любого свободного порта и должен получить ответ на этот же порт. Но если НЕ прописать в качестве доверенных источников IP-адреса этих различных серверов, то ответы от них будут попадать под правило -A ispmgr_deny_sub -j DROP 

Сейчас сотрудники поддержки предлагают указывать IP-адреса серверов, с которых доступ надо разрешить на любой порт

Таких серверов по меньшей мере 34 (см. тикет 11145908, сообщение саппорта от 2024-02-09 00:25:27) причём IP-адреса могут меняться и мониторить их совсем не увлекательное занятие. 

В качестве альтернативного выхода из ситуации я через консоль ввёл команду iptables -I ispmgr_deny_sub  -m state --state ESTABLISHED,RELATED -j ACCEPT (спасибо добрым людям, подсказали) 

В связи с вышеописанным предлагаю: в панели управления добавить в интерфейс создания правил фаервола следующие опции: 

Разрешить пакеты ESTABLISHED (чекбокс, подсказка "кружок с вопросительным знаком")

Разрешить пакеты RELATED (чекбокс, подсказка "кружок с вопросительным знаком")

Предлагаемые опции актуальны при создании правила "Частично разрешить" с активированной опцией "Запретить доступ для всех" и правила "Запретить".