Отвечая на это с точки зрения Уоникса 8. Ссылки указывают на исходный код Whonix 8.
Обычно брандмауэры Whonix - это брандмауэры с белым списком. Это означает, что они используют падение политики для всех цепочек (входной, прямой, выходной) и падение или отклонение правила как последнее правило. Весь трафик, не являющийся явным белым списком, будет брошен или отклонен (в зависимости от цепочки).
Брандмауэр Whonix-Workstation здесь не имеет никакого отношения. Это необязательный дополнительный брандмауэр, который отключен по умолчанию. Смотрите страницу man page для более подробного объяснения.
Если бы вы использовали его, следующее правило с принудительным исполнением, что только TCP
может уйти.
## The next rule ensures, that only tcp can leave and achieves the desired result from (4).
iptables -A OUTPUT ! -p tcp -j REJECT --reject-with icmp-port-unreachable
Вообще говоря, -p tcp
будет означать "только TCP
". И ! -p tcp
здесь означает все протоколы, кроме TCP
.
Обязательным важным элементом здесь является брандмауэр Whonix-Gateway.
Он белым цветом перечисляет трафик UDP
на порт 53
(DNS
) и перенаправляет его на Tor'овский DnsPort
. Найдите в скрипте брандмауэра -p udp --dport 53
, чтобы увидеть соответствующие правила. Другой трафик, который он записывает в белые списки и перенаправляет, это TCP
. Отдых блокируется благодаря сбросу политики (в качестве страховочной сети) и/или сбросу/отказу по последнему правилу (в зависимости от цепочки).
В зависимости от цепочки.... Перед тем, как кто-то спросит, что я имею в виду.
Full disclosure:
Я сопровождающий Уоникса.