LINUX.ORG.RU
ФорумAdmin

IPtables запрет исходящего трафика.

 


0

1

Привет админы.

Подскажите, необходимо через iptables запретить весь исходящий на все IP адреса, кроме адресов локальной сети.

Правильно ли пытаюсь сделать?

-A OUTPUT -t filter ! -s 192.168.0.0/16 -p tcp -j REJECT

В целом верно, но:

  1. -t filter писать не нужно, это дефолтная таблица, а если и писать то в начале команды, а не в середине

  2. может это мои личные предпочтения, но я бы сделал два правила - одно на разрешение 192.168.0.0/16 и второе на запрет всего; мне почему-то кажется что так будет интуитивно понятнее всё и проще к доработаке в случае чего (например если надо будет расширить список разрешённых)

  3. оно действительно порежет весь исходящий tcp-трафик, но у меня есть подозрение что ты хотел другое - запретить исходящие коннекты (потому что входящие коннекты тоже генерируют исходящий трафик); чтобы запретить исходящие коннекты, надо фильтровать только SYN-пакеты: дописать --tcp-flags SYN,ACK SYN после -p tcp в запрещающем правиле

firkax ()
Последнее исправление: firkax (всего исправлений: 2)
Ответ на: комментарий от firkax

оно действительно порежет весь исходящий tcp-трафик, но у меня есть подозрение что ты хотел другое - запретить исходящие коннекты (потому что входящие коннекты тоже генерируют исходящий трафик); чтобы запретить исходящие коннекты, надо фильтровать только SYN-пакеты: дописать –tcp-flags SYN,ACK SYN после -p tcp в запрещающем правиле

Действительно, мне надо разрешать исходящий трафик, который генерируют входящие соединения.

В итоге получилось так: -A OUTPUT ! -s 192.168.0.0/16 -p tcp –tcp-flags SYN,ACK SYN -j REJECT

Всё правильно? А вообще ситуация следующая. Есть веб приложение которым пользуются сотрудники, у которого исходящий трафик должен был направлен во внутреннюю сеть, но подозрительно трафик стал уходить во внешнюю сеть. Хочу пресечь это и дальше разбираться.

dualCore ()
Ответ на: комментарий от dualCore

Есть веб приложение которым пользуются сотрудники, у которого исходящий трафик должен был направлен во внутреннюю сеть, но подозрительно трафик стал уходить во внешнюю сеть.

Платить адекватную зарплату не пробовали?

anonymous ()