也就apache服务运行在80端口，ssh服务运行在22端口，有必要开启iptables防火墙么？

netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
tcp6 0 0 :::22 :::* LISTEN -
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 5749599 - /var/run/mysqld/mysqld.sock
开启防火墙的意义到底是什么

从来不开 iptable/ufw or fail2ban
ssh 改了端口，禁root，公钥认证足够了

等你受到攻击的时候你就知道了，自己做测试用的服务器无所谓，要是放到公网上的建议还是开启吧!

我不开防火墙，服务器上开放的也就是这两个端口，我开了防火墙，这两个端口还是要放行，那有何意义呢

记得 iptables 还可以限制某端口被某单一ip访问的每秒包速率...

比如22端口 你可以用-s指定IP或者网段才能登录，这样避免22暴露在外。

如果你打算裸奔的话

生产服务器还是得装的

iptables很有意思的，可以玩出很多东西，不过一般问题不大了

感觉还是ubuntu的ufw好点。坐等新版的systemd以后的iptables

ufw不错的说.

v友们有用csf的么

如果边缘服务器有防火墙便无所谓，但是如果裸奔被攻击就跟DT了

ufw其实就是iptables吧？
其实装不装关键还是看是不是内网。如果是内网安全要求没那么高的服务器，也可以选择不装。
反正我是必装，然后开必要端口。
没事留可能的漏洞这是有多无聊才能做出来。

csf +1 5分钟就配置好了
阻止端口扫描、 限制ip连接数、ip黑白名单等等
把某功能限制在ssh+公钥才能登录来提高安全性

ssh改端口+root动态密码认证

曾经有个十几年it经验的人也跟我说开防火墙没啥意义。。
防火墙的意义在于防止渗透提权。
举个栗子
你的服务器上安装有服务A/1234端口 和服务B/7777端口 C/10010端口 D/12580端口
A被爆了一个漏洞，可以被提权，但是权限有限不能乱搞，不过这个权限只可以用来访问服务B和D
此时服务B也有一个漏洞这个漏洞比较大，很危险，比如传输敏感数据或是发送arp，于是你就被攻破了。
但是如果这个时候你开了iptables，7777端口是只允许内网访问的，那么他即使提到权，也是没有用的。

需要开启防火墙不.
防火墙配置如何.
这个看需求!

内核都是 filter 啊. ufw 和iptables 只是实现

楼主你这个.如果没有需要限定访问ssh ip的就没必要开启防火墙`

必须开启，因为很多服务会开放端口，但是这个端口对外界是没有意思的，举个例子，如果你启用了 mysql，通过 3306 端口的，请问你要开放 3306 端口出去吗？

在添加数据库的时候可以直接限制只能通过本机连接
这样即使暴露了你连连都连不上

我的vps啥安全措施都没用，前几天看日志有个孙子在穷举我的密码。

可以防止ip欺骗

参考楼主netstat输出：tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN -

呃。。。我想说iptables不仅仅是一个防火墙。。

开吧。。
不开，你总会看到httpd日志中存在一些不可爱的IP

127.0.0.1