>>проще добавить одно правило в iptables и закрыть доступ на удаленный хост.
это проще, но абсолютно не решает проблемы. Допустим, я скачиваю прогу для линуха и запускаю ее. При этом у меня открыт браузер, почта и качалка, но вот именно этой проге интернет давать не хочу. Причем не хочу изначально, не зная пока, на какой хост и по какому протоколу она полезет, и полезет ли вообще.
ИМХО,
аппфаер не особо нужен на сервере, где все когда то настроено и теперь работает, но на рабочей станции он обязательно необходим