Ce que tu dit est vrais, mai ne tien pas compte de ce qui est pour les connexion sans demande
Ce que tu dit:
Demande(port aléatoire) -->port spécifique–>retour(port aléatoire), uniquement sur demande
il est logique que sa marche , mai sa n’empêche pas que certaine application par exemple nexiuz,rtorrent,ect doive avoir aussi un port a l’écoute, du coup sa devient un casse tête pour savoir ce qui sort et ce qui rentre. car sa donne:
(écoute,demande) --> port spécifique(Est ce que c’est la bonne ip ?) <—> (demande (de qui?) (port aléatoire),écoute(port fixe (de qui?)))
En filtrant aux niveau application on a plus ce problème, et plus besoin de modifier le par feux a chaque foi que le port change, que ce soit sure le port local ou le le port de destination , sure demande ou sure requête.
j’ai fait un script qui justement partait dans ce que tu disais mai dès que j’installais un logiciel,je devait modifier les 2 par feux celui du portable qui me serre de serveur, et le fixe.
Sans compter que dès que tu redémarres la machine les port changes.
mai on peux ajouter la ligne que tu vien de donnée juste après,
iptables -A INPUT -i lo -j ACCEPT
mai sa marchera pas sure un serveur, bien quand ajoutant le NEW cela serai possible, mai sa pert son utiliter enfin bon 
A moins que j’ai fais une erreur quelque part ?