Salve, mi è venuta voglia di confrontare il mio modo di filtrare la rete con quello di chi sicuramente è più esperto di me in fatto di sicurezza di reti.
Io sono abituato a ragionare così, agisco su tre chain: input,out e forward
La prima chain regola il traffico in entrata sul firewall sia lato lan che lato wan
La seconda il traffico in uscita dal firewall sempre sia lato lan che lato wan
La terza invece il traffico che "attraversa" il firewall sia da dentro a fuori che viceversa.
Il traffico che attraversa il firewall da fuori a dentro, è dovuto al fatto che nella tabella di nat nella chain di prerouting potrei aver inserito delle DNAT per far raggiungere per esempio un web server o un ftp server interno alla lan da internet (i cosiddetti virtual server)
Quindi preparati i portforwarding, e le varie chain filtro in questo modo:

In input lato wan droppo tutto, a parte il traffico established o related, ed ovviamente il traffico che deve passare al forward perchè devo raggiungere qualche server della lan come detto prima. Non vi è alcun motivo per accettare traffico sulla wan che non appartenga alle eccezioni di cui sopra
Invece lato lan faccio passare tutto, non ci trovo nulla di male se un pc della lan vuole comunicare col firewall... per esempio se voglio collegarmici in ssh, o magari se il firewall ha una interfaccetat web per la gestione devo potermi collegare in http o https...

In output non mi preoccupo di nulla, non mi preoccupa se il firewall fa richieste verso intenret, per esmpio potrebbe aver bisogno della porta 25 per mandare email di warning, o contattare i dns autoritativi etc...
Anche l'output dal firewall verso la lan non mi preoccupa affatto.
In ogni caso però, il traffico che faccio passare io comunque lo loggo, uso dei --log-pefix che poi uso con degli script bash che fanno un po' di monitoraggio

Il forward da dentro a fuori lo faccio passare, ovviamenete. se una determinata porta è in forward l'ho deciso io perchè come già detto, ho bisogno di raggiungere servizi interni alla lan quindi non ha senso bloccarli.
Il forward da dentro a fuori invece lo blocco tutto! ebbene si. Preferisco aprire solo le porte che servono davvero per una navigazione normale, e comunque per una fruizione canonica di internet, quindi apro porte tipo 80,443,21,25,110,995
Se qualcuno ha bisogno di fare traffico su porte strane me lo deve argomentare. In una situazione normale mi aspetto che il client apre pagine web, manda e riceve posta, scarica file via ftp.
In questo modo un eventuale Trojan non avrebbe la possibilità di uscire e diventerebbe innocuo.

E voi? Quali sono le vostre considerazioni a riguardo?