salve a tutti, ho bisogno di un consiglio/aiuto per configurare al meglio iptables

questo è quello che ho scritto

codice:
# Generated by iptables-save v1.4.7 on Fri Mar  8 20:24:28 2013
*mangle
:PREROUTING ACCEPT [179732:257043642]
:INPUT ACCEPT [179732:257043642]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [177477:10731405]
:POSTROUTING ACCEPT [177477:10731405]
COMMIT
# Completed on Fri Mar  8 20:24:28 2013
# Generated by iptables-save v1.4.7 on Fri Mar  8 20:24:28 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 4662 -j ACCEPT
-A INPUT -p udp --dport 4672 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 13333 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -f -j DROP
-A INPUT -m state --state INVALID -j DROP
-A OUTPUT -f -j DROP
-A OUTPUT -m state --state INVALID -j DROP
COMMIT
# Completed on Fri Mar  8 20:24:28 2013
# Generated by iptables-save v1.4.7 on Fri Mar  8 20:24:28 2013
*nat
:PREROUTING ACCEPT [134:7919]
:POSTROUTING ACCEPT [365:23406]
:OUTPUT ACCEPT [365:23406]
COMMIT
# Completed on Fri Mar  8 20:24:28 2013
la mia intenzione era :
consentire traffico interno
consentire traffico in uscita
bloccare tutte le porte e accettare connessioni alla 21,22,80,10000,13333.
la 4662,4672 non ricordo per quale servizio vennissero usate, in seguito ho letto sarebbe bene bloccare anche frammenti di pacchetti non completi(?),(vedi sotto le porte).
mi piacerebbe fare qualcosa anti ddos e sysflood ma non so come fare al momento.
accedo al server tramite ftp e putty sulla porta 22, ho letto che sarebbe meglio cambiarla.
se qualcuno è esperto leggendo il codice forse si accorge di qualche cazz..a che ho fatto, se me lo potete dire grazie