私はすべての着信および発信接続をブロックし、特定の発信通信のみを許可するようにFedora 36にファイアウォールを設定しようとしています。
- このコンピュータはどんな種類のサーバーでもないため、すべての着信接続をブロックしようとしています。
- 選択したポートの一部だけがトラフィックを送信できるようにしたいと思います。
私が考えることができるのは次のとおりです。
- すべてのインターフェイスのデフォルトのロケール設定は次のとおりです。人々
- デフォルトの公開エリアターゲット設定は次のとおりです。減らす
- パブリックエリアにはサービス、ポート、プロトコルなどは設定されていません。
- コンピュータでIPv6がまったく有効になっていません。
- コンピュータに固定IPv4があるため、dhcpポートは必要ありません。
- 追加のネットワーキングソフトウェアがインストールされていない新しいFedoraシステムでこれをテストしています。
- ファイアウォールは変更があるたびに再ロードされます。
- 残りは直接ルールを使用して構成されます。
ipv4 filter OUTPUT 0 -p tcp -m tcp --dport 53 -j ACCEPT
ipv4 filter OUTPUT 0 -p tcp -m tcp --dport 80 -j ACCEPT
ipv4 filter OUTPUT 0 -p tcp -m tcp --dport 443 -j ACCEPT
ipv4 filter OUTPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
ipv4 filter OUTPUT 2 -m state --state INVALID -j DROP
ipv4 filter OUTPUT 3 -o lo -j ACCEPT
ipv4 filter OUTPUT 4 -j DROP
これはうまくいきません。サイトを読み込めませんでした。
上記の --state ルールに NEW を追加すると、ウェブサイトを読み込むことができます。
ipv4 filter OUTPUT 1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ただし、すべての--dportルールを削除し、保留中のss -tupan接続が表示されなくなるのを待つと、生成されたルールによってポートが明示的に許可されていないという事実に関係なく、新しいサイトを読み込むことができます。
ipv4 filter OUTPUT 1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ipv4 filter OUTPUT 2 -m state --state INVALID -j DROP
ipv4 filter OUTPUT 3 -o lo -j ACCEPT
ipv4 filter OUTPUT 4 -j DROP
--dportルールをACCEPTからDROPに変更すると、サイトはロードされませんが、これは私が望むものではありません。
私の理解は、--dportルールがない場合はすべてを削除する必要があり、--dportルールのみが特定のポートを許可することです。だから新しい状態は必要ありません。
どうすればそのように動作させることができますか?
ありがとうございます。