Du wirst den Server mittels iptables nicht vernünftig absichern können, kannst jedoch die Last am System etwas minimieren. Der benötigte UDP Port muss offen bleiben - dadurch hast du einen Angriffsvektor den du nicht eliminieren kannst. Dennoch solltest du möglichst früh alles rejecten oder droppen, was nicht legitim ist, denn dann muss dein System nicht erst nachsehen ob unter dem Dstport ein Dienst lauscht oder nicht und sendet auch keine ICMP Unreachable Messages mehr zurück. (UDP Flood)
Edit: Kleiner Tipp: Versuche deine Firewall stateless zu bauen, das bringt Performance-Vorteile.