jack-linux,
1 - только если надо сканировать файлы для Windows, например, на почтовом сервере и файлопомойке.
2 - политики безопасности для ограничения приложений, в целом усиливает безопасность + гибкий инструмент для настройки чему куда можно лезть, а куда нельзя. Например, скайп любит лазить за куками браузеров, якобы для настройки сетевого подключения, но с вероятностью 99%, чтобы знать какие сайты посещает тот или иной клиент. AppArmor-ом можно запретить ему это делать.
3 - надо прочитать большой и нудный man к iptables и настроить его согласно требованиям, максимально запрещая всё, что не нужно (например, если нет iptv и чего-то иного что требует мультикаст, то стоит запретить igmp протоколы). Без чтения мана ничего хорошего не получится и универсального ответа на то, что надо вводить и как настраивать - нет.