Sam service iptables to marny firewall, kiedyś w 2018 napisałem skrypt, wycinał wszystko, oprócz portu 443, ale poważnie to polecam firewalld, dużo lepszy od ufw(gufw). Ja bym po instalacji (dm-crypt !) zainstalował sanboxing, łatwy pacman -S firetools, zablokował roota, tryb single user, stosował veracrypt i finallcrypt jako 4 warstwa SECURITY, trzaba stosować zasadę ograniczonego zaufania do kodu, biosu, nvramu,itd. CUPS bez sensu, usługa sieciowa, niebezpieczna, to lepiej udostępniać drukarkę na routerze, dalej jak w kali utworzyć usera ograniczonego np. bez sudo do przeglądania netu, kobniecznie vpn+DNSCrypt 2, proxy, albo najlepiej to wypas - IPFire na jakimś terminalu za 200zł, uprawnienia 700 , ustawić snapshoty jakieś np. grub-btrfs-snap, albo wogóle zmienić loadera na start systend, GnuPG, Bitwarden, w autostarcie wyłączyć nie używane services .. itd, itp to tak na szybko.. a hardenet kernel, appmour ? ustawienia dla ssd czy nvme (trim, hibernation off, swap off), używać VirtManager, Vbox programiści się lenią - słaby kod, cznge mac, proxy-chains, rozważne extension dla ffox, rkhunter,chrootkit, clamav, sprawdzić dmesg (bugi ACPI), dodatkowo password na gruba, i można spokojnie Darknet, pentesty, Pozdr.
Pierwsze zdanie wszystko tłumaczy, a dalej jest tylko gorzej...Bełkoczesz bez sensu i składu a najgorsze, że taki twór jest nie ruszany i tkwi tu, tak samo bez sensu.