Відповіді:
Я б пішов іншим маршрутом і заблокував усі порти. Відкрийте їх, як вам потрібна послуга. Це має ту перевагу, що якщо ви несвідомо запускаєте послугу, ваша машина не вразлива.
Перевага полягає в тому, що ви можете сміливо використовувати порт. Багато програм використовуватимуть псевдовипадковий порт або можуть бути запрограмовані на використання порту. У будь-якому випадку, якщо ви не закриєте порт, вони можуть бути доступні від інших хостів.
Як зазначив Франсуа, закрита політика безпечніша. Почніть з усіх закритих портів і відкрийте потрібні у відповідному напрямку. Зазвичай вимагати послуги, для яких у вас немає або хочете локального сервера. DNS зазвичай потрібен, але вам не потрібно дозволяти вхідні запити. Для належного функціонування мережі потрібно кілька типів ICMP (3,4,11), але інші можуть бути безпечно заблоковані. Як правило, echoвибіркове включення (8), яке повинно включати вхідні echo-reply(0) повідомлення, якщо relatedпакети приймаються.
Більшість будівельників брандмауера, такі як Shorewall , дозволять використовувати ці порти у своїх прикладах або наборах правил за замовчуванням.
Як було сказано в інших відповідях, зазвичай закрита політика безпечніша, ніж лише блокування певних служб.
Наприклад, скажімо, ви встановлюєте сервіс rouge, який починає слухати на випадковому порті та телефонувати додому. Хлопець із чорної шапки, який написав програмне забезпечення, потенційно може виконувати непотрібні дії через свою службу.