iptables: БЛОКИРОВАТЬ все общие ВЫХОДЫ на ПК (без сервера)

Question

я пытаюсь

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP

-A INPUT -i lo -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

Тем не менее, все в Интернете, кажется, требует -P OUTPUT ACCEPT . В противном случае ничего не будет работать.

Также --state NEW в fir INPUT требуется, если вы не хотите настраивать сервер?

Answer 1

Я не совсем понимаю, что вы пытаетесь сделать, но если вы хотите разрешить только доступ к TCP-порту 80 в Интернете, это сработало для меня:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP

-A INPUT -i lo -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Вы также можете разрешить порт 53, если используете какой-либо сервер имен, в противном случае ваш браузер не будет разрешать доменные имена.