¿Por qué es una mala idea permitir todo el tráfico entrante / saliente?

Restringir el tráfico entrante es bastante fácil de entender: si, por ejemplo, está ejecutando ssh y solo accede a este servidor desde su red interna, entonces el hecho de permitir que las personas de Internet en general se conecten a sshd proporciona un vector de ataque. Sí, debería usar solo autenticación basada en clave, y sí, puede que esté usando algo como fail2ban, pero tener más capas de protección es bueno para protegerlo cuando los demás fallan.

Restringir el tráfico saliente ayuda a evitar que un atacante que comprende su servidor extraiga información o haga agujeros para que puedan acceder de forma remota.

La regla de privilegios mínimos se encuentra entre las bases de la seguridad (tenga en cuenta que no está restringida a la seguridad de TI ...). Si todo estuviera en un nivel ideal (no hay tipos malvados que intenten romper tu máquina, ningún fallo en ningún software instalado) restringir el tráfico sería simplemente una pérdida de tiempo.

Lamentablemente, puede haber fallas de seguridad en numerosos programas, lo que los hace vulnerables a diferentes ataques. Por supuesto, supongo que usted lee los avisos de CERT y corrige todas las vulnerabilidades conocidas. Pero restringir el tráfico es solo otra línea de defensa para limitar la exposición de su máquina a lo que se requiere estrictamente. De esa manera, incluso si ha olvidado un software no parcheado, ningún malvado podría usarlo si el firewall bloquea cualquier comunicación con él.

Dicho esto, la seguridad siempre es un equilibrio entre el riesgo y el costo, por lo que si solo se trata de una máquina de prueba, puede que no valga la pena el costo de asegurarla (incluso si se utilizan las mejores prácticas, siempre es bueno en un punto de aprendizaje de ver). Pero la decisión y el riesgo es tu propio problema. Caveat emptor ...