Tenemos un firewall perimetral fuerte. ¿Tendría sentido seguir utilizando IPTables en cada host para bloquear con fuerza cualquiera y todos los puertos excepto los que se necesitan (DNS, 80 para el servidor web, puertos nagios, etc.), o esto solo conduciría a la ineficiencia? El servidor web recibe millones de visitas por día.
Sí, es una buena idea bloquear todos los hosts dentro del firewall para protegerse contra cualquier amenaza proveniente de su red interna. De esa manera, si alguien obtiene acceso a su red o si hay un virus / gusano / etc que ataca a sus máquinas locales, hay muchos menos servicios que podrían verse comprometidos.
Alguien más tendrá que hablar de las ineficiencias en este caso particular, aunque mi sospecha es que serían insignificantes.
Definitivamente haz esto. Me he acostumbrado a implementar servicios utilizando Puppet, por lo que las reglas de permitir el servicio se escriben en el mismo archivo de definición que instala el servicio. El archivo de manifiesto genérico de firewall finaliza al eliminar todo lo que no permití de otro modo (además de ICMP. No desactive ICMP).
Lea otras preguntas en las etiquetas ports