所以，SSH 需要端口 22/tcp。您在询问打开 22/tcp 和 22/udp 是否存在安全漏洞。如果没有任何东西在收听 22/udp，答案是“否”。如果其他应用程序正在侦听 22/udp，您不希望向其他主机开放的应用程序，那么它可以。有这样的组合（例如，syslog 和 rsh 共享 514）。

话虽如此，确实没有太多借口不知道应用程序使用哪个。例如，在 Linux 上，您可以使用netstat -tunlp或lsof -i查看哪个程序正在侦听哪个端口，并正确调整您的防火墙规则。

只是想扩展@gowenfawer 真正出色的答案。

即使过程没有当前监听一个指定的端口上，这可能不是真正的未来...

IE：有人托管 SMTP 服务器；它转移邮件。上面没有网络服务器，因此管理员将端口tcp/80和TCP/443完全打开。Apache 或 Nginx 都没有在上面运行，那么为什么还要编写iptables规则呢？

然后有人入侵了他的邮件服务器并开始运行托管非法内容的网络服务器：可能是色情、恶意软件，谁知道呢；不法之徒可以从其他人的服务器上提供什么服务，令人难以置信。确实，聪明的臭鼬不会自找麻烦：做这种事的人会使用其他人的服务器。

如果这些端口被预先过滤，灾难就可以避免。 记住：只有当他们不是真的想抓你的时候，你才会偏执