IPtables запрет исходящего трафика.

в каком режиме собираетесь настраивать iptables:

• все разрешено, то что надо закрываем
• все запрещено, то что надо открываем

Пока хочу сделать в режиме:

-все разрешено, то что надо закрываем

А именно закрыть все исходящие соединения на любые адреса кроме 192.168.0.0/16

Зачем так однобоко? iptables позволяет сооружать любые конструкции из правил, чередуя разрешения и запреты, и используя ветвления.

приняв одну из концепций - проще рассуждать, кроме того еще зависит от того как учили - мне привычнее в cтилt закрытого firewall-а

В целом верно, но:

1. -t filter писать не нужно, это дефолтная таблица, а если и писать то в начале команды, а не в середине

2. может это мои личные предпочтения, но я бы сделал два правила - одно на разрешение 192.168.0.0/16 и второе на запрет всего; мне почему-то кажется что так будет интуитивно понятнее всё и проще к доработаке в случае чего (например если надо будет расширить список разрешённых)

3. оно действительно порежет весь исходящий tcp-трафик, но у меня есть подозрение что ты хотел другое - запретить исходящие коннекты (потому что входящие коннекты тоже генерируют исходящий трафик); чтобы запретить исходящие коннекты, надо фильтровать только SYN-пакеты: дописать --tcp-flags SYN,ACK SYN после -p tcp в запрещающем правиле

ну и из выше сказанного я бы запретил все, а потом разрешил локалку - такие примеры вы найдёте по каждой второй ссылке

Эти концепции (обе) сводят всю мощь алгоритмического определения ответа к тупо одному плоскому списку разрешений (либо запретов).

есть такое, но я давно уже не админ, и задач кроме как прикрыть устройство и разрешить доступ извне по определенным правилам у меня не возникает.

оно действительно порежет весь исходящий tcp-трафик, но у меня есть подозрение что ты хотел другое - запретить исходящие коннекты (потому что входящие коннекты тоже генерируют исходящий трафик); чтобы запретить исходящие коннекты, надо фильтровать только SYN-пакеты: дописать –tcp-flags SYN,ACK SYN после -p tcp в запрещающем правиле

Действительно, мне надо разрешать исходящий трафик, который генерируют входящие соединения.

В итоге получилось так: -A OUTPUT ! -s 192.168.0.0/16 -p tcp –tcp-flags SYN,ACK SYN -j REJECT

Всё правильно? А вообще ситуация следующая. Есть веб приложение которым пользуются сотрудники, у которого исходящий трафик должен был направлен во внутреннюю сеть, но подозрительно трафик стал уходить во внешнюю сеть. Хочу пресечь это и дальше разбираться.

-s от --source

iptables -t filter -A OUTPUT ! -d 192.168.0.0/16 -m conntrack --ctstate NEW -j REJECT

Провод достань из машины.

Есть веб приложение которым пользуются сотрудники, у которого исходящий трафик должен был направлен во внутреннюю сеть, но подозрительно трафик стал уходить во внешнюю сеть.

Платить адекватную зарплату не пробовали?

Что будем делать если ещё попадется 172.16.0.0/12 ? Намек на использование not !