私は、外部サポーターがシェルアクセス(非ルート)を持っている(非本番)マシンを持っています。 iptablesを使用して、そのマシンからネットワークにさらに侵入するのを防ぎたいのです。
「通常の」ファイアウォールGUIは、着信トラフィックのみをブロックします。 「すべての着信トラフィック(および応答)を受け入れ、特定のターゲット(監視サーバーへのsnmp-trapsなど)の新しい発信トラフィックのみを許可する」などのルールを設定するにはどうすればよいですか?
OSはCentOS5です
承認された回答:
ACCEPTとして明示的に定義したものを除いて、すべての発信トラフィックをドロップする方法は2つあります。 1つ目は、OUTPUTチェーンのデフォルトポリシーをドロップするように設定することです。
iptables -P OUTPUT DROP
この方法の欠点は、チェーンがフラッシュされる(すべてのルールが削除される)と、すべてのアウトバウンドトラフィックがドロップされることです。もう1つの方法は、最後に「包括的」DROPルールを配置することです。 チェーンの。
iptables -A OUTPUT -j DROP
あなたが何を必要としているかを正確に知らなければ、私は何を受け入れるべきかについてアドバイスを提供することはできません。私は個人的に、チェーンの最後にデフォルトのDROPルールを配置する方法を使用しています。 GUIがどのようにルールを設定しているかを調査する必要がある場合があります。そうしないと、起動時にルールを復元する従来のCLIの方法(/ etc / sysconfig / iptablesなど)と競合する可能性があります。