Ho creato uno stack LEMP minimo e non personalizzato (Ubuntu 16.04). L'unico server che ho oltre a Nginx è Postfix. Per proteggere quell'ambiente ho filtrato tutte le porte oltre a poche, in questo modo:
ufw enable
ufw allow 22/tcp 25/tcp 80/tcp 443/tcp 9000/tcp
ufw allow 53/udp
1:1 per mezzo di tcp:udp . Il mio filtro è corretto?
Poiché utilizzi UFW, è un'interfaccia firewall notevolmente semplificata rispetto, ad esempio, all'uso di iptables direttamente. Di conseguenza, fa un po 'di "magia" per te:
Quindi, le regole che crei sono solo regole in entrata, ma la parte in uscita sarà consentita perché tutto è consentito in uscita per impostazione predefinita. Quindi le tue regole sono per consentire il traffico in entrata.
I wonder if I shouldn't go 1:1 by means of tcp:udp.
Non c'è motivo di farlo. HTTP, SMTP, HTTPS non vanno mai oltre UDP, quindi perché aprire buchi nel firewall non è necessario? Tra le porte che hai elencato, il DNS è l'unico che potrebbe utilizzare UDP. (Nota che devi solo consentire a 53 / udp) se sei hosting DNS, non accedere a un server DNS upstream. (E se stai ospitando DNS, dovresti consentire anche a 53 / tcp.)
I wonder if I should distinguish incoming/outgoing for tcp/up or both.
Come notato sopra, UFW fa le regole in entrata per impostazione predefinita, quindi stai distinguendo, non è ovvio perché fa parte della natura "non complicata" di UFW.
Suppongo che tu stia utilizzando qualcosa sulla porta 9000 che ti porta ad aprire quella porta, ma non so cosa sarebbe - non è necessario per nginx, postfix o SSH per impostazione predefinita.