O Netfilter processa as regras do firewall em ordem. Tanto para segurança quanto para desempenho, você deseja que os pacotes transponham o mínimo possível de regras de firewall antes de serem aprovadas ou rejeitadas.
Dependendo da política padrão, você pode ou pode precisar da regra que permite todo o tráfego na lo
interface de loopback -A INPUT -i lo -j ACCEPT
e -A OUTPUT -i lo -j ACCEPT
como a primeira regra.
Ter um firewall de estado com a regra -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
como a primeira nas interfaces externas faz muito sentido, já que o tráfego já atravessou as regras de firewall anteriormente e com êxito, tornando a conexão aprovada e nada é obtido pelo processamento esses pacotes subseqüentes também. Na maioria dos sistemas com uma quantidade significativa de tráfego legítimo, essa regra corresponderá à grande maioria dos pacotes.
Você provavelmente precisará da regra da lista negra antes de qualquer coisa que conceda acesso.
Você geralmente ordena as regras sobre a probabilidade de elas serem relevantes, ou seja, em um servidor da Web você pode querer que uma regra acionada com frequência, como -A INPUT -p tcp -m state --state NEW -m tcp -m multiport --dports 80,443 -j ACCEPT
, seja acionada raramente, como uma permitindo acesso a uma porta de gerenciamento da rede do seu escritório.
Observe os contadores de vez em quando para verificar e ver quais regras são correspondidas com frequência para confirmar se sua configuração é um tanto sensata.