任何不允许的访问，应该在请求到达时给予拒绝

规则在链接上的次序即为其检查时的生效次序

基于上述，规则优化

1 安全放行所有入站和出站的状态为ESTABLISHED状态连接

2 谨慎放行入站的新请求

3 有特殊目的限制访问功能，要在放行规则之前加以拒绝

4 同类规则（访问同一应用），匹配范围小的放在前面，用于特殊处理

5 不同类的规则（访问不同应用），匹配范围大的放在前面

6 应该将那些可由一条规则能够描述的多个规则合并为一条

7 设置默认策略，建议白名单（只放行特定连接）

1） iptables -P，不建议

2） 建议在规则的最后定义规则做为默认策略