Я хотел бы заблокировать все исходящие сообщения с моего сервера, но при этом разрешить ответы на входящие запросы http / https.
Некоторые примеры:
Пользователь вызывает мой сервер, используя свой браузер (https://myserver.example.org/test.html) Брандмауэр должен разрешать ответ, а сервер должен доставить пользователю test.html.
Приложение на моем сервере пытается подключиться к https://badguy.example.org/test.html Брандмауэр должен отклонить этот исходящий запрос, потому что badguy.example.org ничего не запрашивал с моего сервера.
Я не хочу, чтобы это основывалось на IP-адресах или диапазонах IP-адресов. Просто если с сервером связываются с ip, ему разрешено отвечать. Если с ним ранее не связывался этот ip, то ему нельзя ничего отправлять туда.
Это возможно с использованием ufw или iptables? Как я могу это сделать?
Ключ - это флаг --state ESTABLISHED в цепочке ВЫХОДА, которые разрешают только УСТАНОВЛЕННЫЕ соединения, а не новые.
(НЕОБЯЗАТЕЛЬНО) Разрешить вход через SSH для задач администрирования,
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
Разрешить HTTP-трафик
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
Разрешить HTTPS-трафик
iptables -A INPUT -i eth0 -p tcp --dport 443-m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443-m state --state ESTABLISHED -j ACCEPT
Заблокируйте исходящие запросы http / https, исходящие с вашего сервера.
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j DROP
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -j DROP