司機跟在老闆身後想混進俱樂部，被警衛攔下。司機：「我跟他是一起的。」警衛：「幹部是進去了，蛋蛋只能在外面」。

當然，如何做好門禁守衛是一種哲學。在OSI七層當中應該在哪裡阻擋，會比較省時省力；倒推回來，就會知道該在哪一層開放。

第一個是萬惡的SSH。在Day 2 與Day 5中有繞著這主題談到對它的保護。但還有更高層次的fwknod方式可以繼續疊加套用。

第二個是網頁，要加密可能還是走nginx / https方式。這會利用nginx / naxsi模組作個簡單的防護。

第三種是特種服務，要NAT + Protforwaring，比如說想接到某主機的某服務，例如將Jenkins Agent通訊串起來，這時候就開始要思考了。
如果照規矩開，DNS 53對53，tomcat8000 對8000，那就落入一個well know service port的問題。以一個port scan的行為裡，現實世界除非你真的是sombody，值得全面掃描好好研究。因此調整服務port也是一種消極抵抗手法。
具體地說怎麼辦呢？

嘿！去IANA找別個屋頂啦，不要跟我在同一個地方亂搞。大家都用同一招，到時候就變成well know port了。
(像海豹搶曬陽光的岩棚)

至於這樣調整完以後，我敢保證超難憑一個人腦袋維護的，也因此會說該用git版控這些組態設定。