私はIPTablesよりも高度な機能を備えたWindowsファイアウォールの経験があります。 WFAFを使用すると、プログラムが特定のプロトコルを介して特定のポートの特定のIPアドレスにのみ接続できるようにプログラムをロックできました(デフォルトでは「ポート80の発信接続は問題ありません」と言う代わりに)。複製方法を決定しました。これはIPテーブルの使用です。誰でも迅速で汚いヒントを提供できますか?たとえば、Firefoxでポート80と443のみを使用したいとします。どうすればいいですか?
答え1
WFAFでは、特定のプロトコルを介して特定のポートの特定のIPアドレスにのみ接続できるようにプログラムをロックできました。
この機能はSELinuxの組み合わせになりますポート番号アクセス制御HBACおよびプロトコル検査のためのnetfilter/iptablesファイアウォール。
完全なポリシー例を提供するのに十分な SELinux について十分にはわかりませんが、デフォルトでプログラムにタグを付けて(まだタグが指定されていない場合)、特定のポートにのみバインドできるようにそのドメインで実行されるプロセスを構成します。
たとえば、Firefoxでポート80と443のみを使用したいとします。どうすればいいですか?
私は専門家ではありません。実際にWindowsファイアウォールでこれを行うことはできますか? Linuxでは、次の解決策を見つけることができます。SELinuxタイプに応じたパケット表示DROPその後、SELinuxタイプ(たとえば、未承認の宛先ポートを宛先とするパケット)に基づいてフィルタリングを決定できます。
つまり、あなたはできます。簡単ではないかもしれません。また、このように非常にきめ細かいレベルのアクセス制御が必要な場所がどれだけ多いか分かりません。