Abbiamo un strong firewall perimetrale. Avrebbe senso usare ancora IPTables su ogni host per bloccare tutte le porte tranne quelle necessarie (DNS, 80 per il server web, porte nagios, ecc.), O questo porterebbe solo a inefficienze. Il server web ottiene milioni di visite al giorno.
Sì, è una buona idea bloccare tutti gli host all'interno del firewall e proteggerli da eventuali minacce provenienti dalla rete interna. In questo modo, se qualcuno accede alla tua rete o se c'è un virus / worm / etc che attacca le tue macchine locali, ci sono molti meno servizi che potrebbero essere potenzialmente compromessi.
Qualcun altro dovrà parlare delle inefficienze in questo caso particolare, anche se il mio sospetto è che sarebbero trascurabili.
Definitivamente farlo. Ho preso l'abitudine di distribuire servizi usando Puppet, quindi le regole del servizio di autorizzazione sono scritte nello stesso file di definizione che installa il servizio. Il file manifest generico del firewall termina eliminando tutto ciò che non consentiva altrimenti (oltre a ICMP. Non disattivare ICMP).
Leggi altre domande sui tag ports