Risposte:
Vorrei andare sull'altro percorso e bloccare tutte le porte. Aprili quando hai bisogno del servizio. In questo modo si ha il vantaggio che se si avvia inconsapevolmente un servizio, la macchina non è vulnerabile.
Il vantaggio è che puoi utilizzare in sicurezza la porta. Molti programmi useranno una porta pseudo-casuale o possono essere programmati per usare una porta. In entrambi i casi, se non si chiude la porta, potrebbero essere accessibili da altri host.
Come ha osservato Francois, una politica chiusa è più sicura. Inizia con tutte le porte chiuse e apri quelle necessarie nella direzione appropriata. È comune richiedere servizi per i quali non si dispone o si desidera un server locale. Il DNS è generalmente richiesto, ma non è necessario consentire le richieste in arrivo. Per la corretta funzionalità di rete sono necessari diversi tipi ICMP (3,4,11), ma altri potrebbero essere bloccati in modo sicuro. È comune abilitare echoselettivamente (8), che dovrebbe abilitare i echo-replymessaggi in arrivo (0) se i relatedpacchetti sono accettati.
La maggior parte dei costruttori di firewall come Shorewall , consentirà queste porte nei loro set di regole di esempio o predefiniti.
Come hanno affermato le altre risposte, è generalmente una politica chiusa più sicura che bloccare solo determinati servizi.
Ad esempio, supponiamo di installare un servizio rouge che inizia l'ascolto su una porta casuale e telefona a casa. Il tipo black hat che ha scritto il software potrebbe potenzialmente eseguire azioni indesiderate attraverso il proprio servizio.