最近看了看 ArchWiki 的这一条目： https://wiki.archlinux.org/index.php/Simple_stateful_firewall ，想问问大家都是怎么配置防火墙的。

iptables ……
我们都是专业设备来做这些事

硬件防火墙？你们难道不使用 iptables ？

我是只开必要的端口， ssh 等敏感端口换端口，只开证书认证，装 fail2bab 。机房负责防 ddos 。比较皮毛。
同求大神指点。

分区域 ，各独立区域相互之间都是由硬件防火墙策略管理
iptables 更偏向单机设置，对于 vps 或者类 vps 的云机器这些倒是可以用用 ， 企业内感觉最多也就用它写写开关端口的 acl ，做 nat 的情况都不多

....直接上硬件啊...
内向外只开 80 跟 443..
外向内就看 application 需要了....不过所有 web 应用都走 DMZ 的反向代理再进 VM

转换端口的话用扫描工具一样可以检测出来的吧，可以再考虑端口隐藏什么的，上面的 wiki 里有讲这个

非运维，在用 arno-iptables-firewall
用哪个端口开哪个

窝来告诉你 不存在绝对防御，那如何防御呢？钱+人才 ：托管。

禁用 UDP 、 ICMP ，然后端口 22 限制 10.0.0.0/8 登录
开放 80 443 其他一律 drop
本机开启软防脚本，超过一定请求数 ban 掉
Nginx 开启限制线程和单线程下载速度

难道不是有个运维系统，登录系统后点击服务器 ip 的 xshell 直接连接系统吗？

禁用 UDP 太绝对了。。。比如日志收集，中心化管理，用 tcp 不觉得太蛋疼了么

飞塔 200d

在大流量业务前面加防火墙就是自作的行为， 性能瓶颈是个大坑， 吹虚的再牛逼的商用硬件在这个场景下也是个渣；
安全要求高的特殊业务另说， 没有防火墙不让你搞的业务另说