Во-первых, я согласен с @vartec в вопросе регулирования «Скорее блокировать, регулировать. Использовать iptables -m limit» как минимум как часть решения.
Однако я могу предложить другую причину, чтобы не блокировать исходящий порт 80 постоянно. Если у вас включены автоматические обновления безопасности, сервер не может обратиться к PPA через порт 80 для запуска обновления безопасности. Таким образом, если у вас установлены автоматические обновления безопасности, они не будут запускаться. В Ubuntu обновления для автоматической безопасности включены в 14.04 LTS с:
sudo apt-get install unattended-upgrades update-notifier-common && \
sudo dpkg-reconfigure -plow unattended-upgrades
(then select "YES")
Более изящными решениями были бы доступные сценарии, открывающие порт автоматически, возможно также изменяющие правило группы безопасности AWS через CLI в дополнение к iptables, если вы находитесь в AWS. Я предпочитаю временно изменять свои исходящие правила через интерфейс командной строки AWS, инициированный стелс-боксом. Это вынуждает регистрировать обновление в моих журналах AWS S3, но никогда не отображается в журналах на самом сервере. Кроме того, сервер, который инициирует обновление, даже не должен находиться в ACL частной подсети.
Может быть, оба? Время от времени вы должны полагать, что атака будет ретранслировать внутренний IP-адрес в вашей подсети, поэтому есть смысл удваивать, сохраняя при этом возможность автоматизации резервного копирования и обновлений безопасности.
Надеюсь, это поможет. Если нет, ответьте и предоставьте больше примеров кода, чтобы быть более конкретными и точными. #staysafe!