你见，或者不见，我就在那里，不卑不喜。

防火墙，作用于网络边界，用以保护网络内的机器。
伟大的GFW，撕心疯一样的限制并保护着襁褓中的我们，长大后不得不自备梯子看外面的世界。

iptables

iptables 是netfilter.org的项目，linux kernel 2.4.X开始正式引入。

相关原理：参考上图，ref自行脑补。
Netfilter-packet-flow

https://en.wikipedia.org/wiki/Netfilter

practise

从一台linode主机的安全说起....
对外提供web服务，需要远程ssh访问，其上部署的应用程序需要访问互联网及内网的服务。整理如下
更改ssh配置：关闭root登录、替换默认端口22
限制进站：只允许80/443/ssh 端口进入（对外提供服务，对出站不做限制）

大致如下：

#限制入口，不限制出口流量
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
​
#常用web服务
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
​
#import
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

常用脚本（同事给的）：

#!/bin/bash

#clear all rules
iptables -F
#allow loop net
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
​
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
​
#allow out access
iptables -A OUTPUT -j ACCEPT
​
# ping
iptables -A INPUT -p icmp -j ACCEPT
# ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 50022 -j ACCEPT
​
# http
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
​
#https
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

基本满足需求，按需调整吧

Ref

iptables详解
iptables全攻略
iptables-linux-firewall
how-to-setup-a-basic-ip-tables-configuration-on-centos-6
http://www.cnblogs.com/argb/p/3535179.html

真正的安全是一种意识，而非技术！