通过 iptables 阻止除端口 22 和/或本地主机之外的 debian 7 vps 上的所有传入和/或传出流量是个好主意吗?服务器不运行任何外部可用的应用程序。
更新:添加了这两个 iptables 规则:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -P INPUT DROP
答案1
不,这不是一个好主意。
在我看来,无论如何你都需要添加一些 icmp 数据包。
我会添加一个全状态防火墙:仅接受 22 上的新连接和所有已建立的连接,因此您可以删除有关打开的连接的一些信息收集以及有关 IP 标志的一些攻击。
此外,我还会添加一个面向外部的防火墙。
答案2
是的,使用封闭策略更安全:阻止所有端口并在需要服务时打开它们。这将使您的机器不易受到攻击。