как запретить yum обновлять файл, который я изменил?
Для DNS вам необходимо разрешить UDP-пакеты между любым портом на IP-адресе внутри брандмауэра и портом 53 на IP-адресе. за пределами брандмауэра.
Для HTTPS необходимо разрешить TCP-пакеты между любым портом на IP-адресе внутри брандмауэра и портом 443 вне брандмауэра или, что реже, любым портом за пределами брандмауэра (некоторые веб-сайты не используют порт по умолчанию).Для HTTP то же самое и с портом 80.
TCP - это подключенный протокол; два конца соединения не симметричны, и брандмауэры обычно делают различие между ними. Редко есть какие-либо причины безопасности для предотвращения исходящих подключений, за исключением, может быть, принудительного прохождения исходящей электронной почты через выделенный ретранслятор (чтобы предотвратить отправку спама зараженными машинами незамеченным). Типичный базовый брандмауэр для клиентской машины разрешает все или большинство исходящих соединений и блокирует входящие соединения.
Для проверки связи разрешите ICMP. Вы должны разрешить все ICMP, если у вас нет особой причины блокировать определенные типы пакетов. Беспорядочная блокировка ICMP может затруднить диагностику сетевых проблем и вызвать наводнения из-за того, что приложения не получают надлежащих ответов об ошибках.
Вот простая конфигурация брандмауэра Linux, подходящая для типичной клиентской машины, которая разрешает все, кроме SMTP, на машину, отличную от smtp.example.com , и блокирует входящие TCP-соединения, кроме порта 22 (SSH) .
iptables -F INPUT
# Accept everything on localhost
iptables -A INPUT -i lo -j ACCEPT
# Accept incoming packets on existing connections
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Accept DNS replies
iptables -A INPUT -p udp --sport 53 -j ACCEPT
# Accept incoming SSH connections
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Reject everything else that's incoming
iptables -A INPUT -j REJECT
iptables -F OUTPUT
# Forbid outgoing SMTP except to a known relay
iptables -A OUTPUT -p tcp --dport 22 ! -host smtp.example.com -j REJECT
# Allow everything else that's outgoing
iptables -P OUTPUT -j ALLOW
Вы можете сделать файл неизменяемым(chattr +i /etc/rc.d/init.d/sendmail). Любое (автоматическое )обновление пакета потерпит неудачу, и вы будете осведомлены о ситуации; затем просто удалите неизменяемый флаг, выполните обновление, повторите изменение файла и снова сделайте его неизменяемым.