智驾网络防火墙配置的规则

大佬们，请教下智驾上防火墙配置的经验，目前主要有以下几点不太清晰：
1.智驾上配置防火墙一般是只针对INPUT链做拦截，还是OUTPUT和FORWARD都要拦截
2.对于拦截的标准，向INPUT链的匹配的规则一般是哪些，比如说是需要匹配源ip和dport都一样才能放行，甚至mac地址也要匹配才行，还是说只要是目的ip和dport匹配就可以放行。
3.对于访问公网的业务，涉及到域名解析，在用iptables配置防火墙的话依赖dns去将域名解成ip，那么就存在一种极端情况，如果在启动过程中网络不好导致域名解析失败，就会导致这类业务流量无法进入，对于这类业务一般是如何配置的，是本地直接将域名解成ip吗？
首次接触这块，没什么经验，希望有懂的大佬能赐教下。