Разрешить подключение по ssh и http\https в цепочку INPUT. Там же разрешить локальную петлю.
Дефолтные политики для цепчки INPUT и FORWARD выставить в DROP.
Самое главное когда будете играться с iptables держите под рукой kvm\ipmi на всякий случай.
Должно получиться что-то такое:
#!/bin/bash
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 443 -j ACCEPT
Последние три правила можно конечно объединить в одно через -m multiport.
Остальное можно добавлять по мере надобности.
Ну и ssh хорошо бы закрыть либо на ip-адрес офиса, либо настроить какой-либо fail2ban.