Dazu gibt es zwei unterschiedliche Antworten:
a) Nein, denn wenn man seinen Server im Griff hat, gibt es keine unnötige offene Ports.
b) Ja, wenn man sich nicht so gut auskennt und wirklich nur die nötigen Ports erlauben will.
PS: Man beachte, daß hier nicht von einer Desktop-/Personal-Firewall die Rede ist, wie sie auf jedem Windows-Rechner installiert sein sollte.
Ergänzung: (aufgrund u.g. Kommentar)
Eine Firewall auf dem Server verhindert nur in seltenen Fällen, daß nach einem Einbruch Ports nach aussen geöffnet werden. Es wäre nämlich ein schlechter Hacker/Rootkit, wenn nicht einmal die iptables entsprechend an die eigene Backdoor angepaßt werden würden.
Womit wir bei der Sicherheit von Vorgelagerten Firewalls wären, wie sie früher als DMZ (demilitarisierte Zone) bekannt waren und heute von vielen Providern angeboten werden. Diese haben drei Vorteile:
- Man kann sich nicht endgültig aus dem Server aussperren, da die Firewall-Einstellungen jederzeit erreichbar sind.
- Sie können den Upload (Daten vom Server nach draussen) auf fremden Ports blocken.
- Sie können von Hackern nicht erreicht werden.