Al momento ho risolto così, ma non so se sia giusto:

Al boot carico tutti i moduli di iptables.
Poi con uno script che parte al livello di default:

-Carico iptables (praticamente mi blocca tutto)
-Faccio partire l'ADSL
-lancio lo script rc.firewall in inet.d che ripristina il filtro di Guarddog.

Quando chiudo lo stesso script chiude l'ADSL e scarica iptable.

In questa maniera funziona, ma ci ho perso parecchio tempo per arrivarci.

mcz