以前、放置していたsakuraのサーバーが悪さしているといわれて強制的にOSリセットされた事があります。。。悪い人に入られて踏み台にされていたようです。

それ以降は、sakuraのVPSを起動したらまずはiptablesを設定するようにしています。
大体ここのやつを参考に。
「さくらのVPS」導入解説 その10：iptablesの設定 | Sabakura Blog

いっつも忘れて調べ直すので、転載。メモ。

*filter
:INPUT   ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT  ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
 
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# SSH, HTTP, FTP1, FTP2, MySQL
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80    -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20    -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21    -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306  -j ACCEPT
 
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
 
COMMIT

まあ、最近は内部IPが使えるんで内部のみに絞るみたいなのも追加してます。
内部のsshは22の方が便利だったりするけど、外部には22あけたくないしー、的な。

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s 10.0.8.0/24 -j ACCEPT

AWSみたいにFW(security group)が設定できると良いんですけどね。
当然、iptablesでパケット監視しているとcpuも当然使うのでその辺りとはうまくつきあっていかないと。

クラウドVPS入門 運用・構築から高度な利用まで (静岡学術出版理工学ブックス)

• 作者:JACC,水野 信也,永田 正樹,坂田 智之,長谷川 孝博
• 静岡学術出版

Amazon

小さな会社の新米サーバー/インフラ担当者のためのLinuxの常識

• 作者:中島 能和
• ソシム

Amazon