iptablesはdebian linuxでupdポートをブロックすることをお勧めします。

iptablesはdebian linuxでupdポートをブロックすることをお勧めします。

アドバイスしてください:

次のiptablesルールを追加します。

iptables -I OUTPUT 2 -p udp --dport 53 -j ACCEPT
iptables -I OUTPUT 2 -p udp --dport 1700:1750 -j ACCEPT
iptables -I OUTPUT 3 -p udp -m udp --dport 1812 -j ACCEPT
iptables -I OUTPUT 5 -p udp -m udp --dport 1813 -j ACCEPT
iptables -I OUTPUT 5 -p udp -m udp --dport 5950:6050 -j ACCEPT
iptables -I OUTPUT 5 -p udp -m udp --dport 499:510 -j ACCEPT
iptables -I OUTPUT 5 -p udp -m udp --dport 4490:4550 -j ACCEPT
iptables -I OUTPUT 20 -p udp -j DROP

ただし、適用後:ipsec、l2tp、およびopenvp udpポート6000が動作を停止しました。

質問がありますか?

これは私のUDPサービスです。

udp 0 0 0.0.0.0:500 0.0.0.0:* 3115/charon
udp 0 0 0.0.0.0:1701 0.0.0.0:* 2885/xl2tpd
udp 0 0 162.243.256.150:6000 0.0.0.0:* 2818/openvpn
udp 0 0 0.0.0.0:4500 0.0.0.0:* 3115/charon
udp6 0 0 :::500 :::* 3115/charon 

答え1

このOUTPUTチェーンは、サービスの「クライアント」であるサーバー(たとえば、本社にopenvpn接続を持つオフィスなど)に適しています。

ACCEPTサービス(たとえば、トランスポート用に新しい関連接続を作成するftp / tcp)に応じて、サーバーに入るトラフィックとその関連接続の出力が必要です。 openvpnサービスの例:

iptables -I INPUT -p udp --dport 2818 -j ACCEPT
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

この最後の行をすべてのサービスにコピーする必要はありません。

関連情報