Как whonix блокирует трафик UDP (кроме связанного с udp-DNS трафика)?
Отвечая на это с точки зрения Уоникса 8. Ссылки указывают на исходный код Whonix 8.
Обычно брандмауэры Whonix - это брандмауэры с белым списком. Это означает, что они используют падение политики для всех цепочек (входной, прямой, выходной) и падение или отклонение правила как последнее правило. Весь трафик, не являющийся явным белым списком, будет брошен или отклонен (в зависимости от цепочки).
Брандмауэр Whonix-Workstation здесь не имеет никакого отношения. Это необязательный дополнительный брандмауэр, который отключен по умолчанию. Смотрите страницу man page для более подробного объяснения.
Если бы вы использовали его, следующее правило с принудительным исполнением, что только TCP может уйти.
## The next rule ensures, that only tcp can leave and achieves the desired result from (4).
iptables -A OUTPUT ! -p tcp -j REJECT --reject-with icmp-port-unreachable
Вообще говоря, -p tcp будет означать "только TCP". И ! -p tcp здесь означает все протоколы, кроме TCP.
Обязательным важным элементом здесь является брандмауэр Whonix-Gateway.
Он белым цветом перечисляет трафик UDP на порт 53 (DNS) и перенаправляет его на Tor'овский DnsPort. Найдите в скрипте брандмауэра -p udp --dport 53, чтобы увидеть соответствующие правила. Другой трафик, который он записывает в белые списки и перенаправляет, это TCP. Отдых блокируется благодаря сбросу политики (в качестве страховочной сети) и/или сбросу/отказу по последнему правилу (в зависимости от цепочки).
В зависимости от цепочки.... Перед тем, как кто-то спросит, что я имею в виду.
- INPUT: dropped
- FORWARD: rejected
- OUTPUT: rejected
Full disclosure:
Я сопровождающий Уоникса.