Ich habe einen (Nicht-Produktions-)Computer, auf dem externe Unterstützer Shell-Zugriff (ohne Rootberechtigung) haben. Ich möchte verhindern, dass sie von dieser Maschine aus weiter in unser Netzwerk gehen, indem sie iptables verwenden.
Die „normale“ Firewall-GUI blockiert nur den eingehenden Datenverkehr. Wie kann ich Regeln aufstellen wie „alle eingehenden Datenverkehr akzeptieren (plus Antwort), aber nur neuen ausgehenden Datenverkehr für bestimmte Ziele zulassen (wie snmp-traps zum Überwachungsserver)“?
Betriebssystem ist CentOS 5
Akzeptierte Antwort:
Es gibt zwei Möglichkeiten, den gesamten ausgehenden Datenverkehr zu verwerfen, mit Ausnahme dessen, was Sie ausdrücklich als ACCEPT definieren. Die erste besteht darin, die Standardrichtlinie für die OUTPUT-Kette so einzustellen, dass sie gelöscht wird.
iptables -P OUTPUT DROP
Der Nachteil dieser Methode besteht darin, dass der gesamte ausgehende Datenverkehr verworfen wird, wenn die Kette geleert wird (alle Regeln entfernt). Die andere Möglichkeit besteht darin, eine „pauschale“ DROP-Regel an das Ende zu setzen der Kette.
iptables -A OUTPUT -j DROP
Ohne genau zu wissen, was Sie brauchen, kann ich Ihnen keine Ratschläge geben, was Sie akzeptieren sollten. Ich persönlich verwende die Methode, eine Standard-DROP-Regel an das Ende der Kette zu stellen. Möglicherweise müssen Sie untersuchen, wie Ihre GUI Regeln festlegt, da dies sonst zu Konflikten mit herkömmlichen CLI-Methoden zum Wiederherstellen von Regeln beim Booten (z. B. /etc/sysconfig/iptables) führen kann.