Файрвол на Linux: ufw для начинающих

Закрыто по умолчанию, открыто по необходимости

ufw - дружелюбная обёртка над iptables. Базовая настройка занимает минуту.

ufw default deny incoming
ufw allow OpenSSH
ufw allow 80,443/tcp
ufw enable

Правило простое: наружу торчит только то, что действительно должно. БД и внутренние порты слушают localhost и в файрволе не открыты вовсе.