Блокировать все исходящие сетевые запросы, кроме SSH
I've detected some packages that breaks my configuration (like light-locker, evince, etc...)
apt-listbugs— это правильный инструмент для работы с ошибочным пакетом, позволяющий закрепить пакет или зависимости. Например:
# apt install apt-listbugs
$ apt-listbugs list light-locker
grave bugs of light-locker (-> ) <Outstanding>
b1 - #892290 - light-locker: at unlock, crash with: arguments to dbus_message_new_method_call() were incorrect
Summary:
light-locker(1 bug)
0
steve antwan
23.07.2020, 19:17
Ссылка
1 ответ
Вот минимальная конфигурация iptables:
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P OUTPUT DROP
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
Это позволит подключаться только по IP-адресу.
Если вы хотите включить разрешение DNS, добавьте эти два правила:
iptables -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
Если вы знаете IP-адреса своих DNS-серверов, то имеет смысл разрешать подключения только к ним. Добавьте к этим двум командам -d DNS_IP_ADDRESS, например.iptables -A OUTPUT -d 1.2.3.4 -p tcp -m tcp --dport 53 -j ACCEPT
2
Artem S. Tashkinov
18.03.2021, 23:17
Ссылка