特定のIPアドレスへのアウトバウンド接続だけをブロックしようとしていますが、同じIPアドレスからのインバウンド接続は許可したいと思います。
アウトバウンド接続のブロックについて私が理解したところによると、してはいけないインバウンド接続が正常に確立された場合、ブロックされます。
デフォルトでは、次のようにルールを設定しました。
--append OUTPUT --jump DROP --destination x.x.x.x
確立された接続を許可します。
--append INPUT --in-interface eth0 --match state --state RELATED,ESTABLISHED --jump ACCEPT
このIPアドレスがサーバーに接続しようとしたときに接続を許可したいのですが、サーバーがアウトバウンド接続を試みるときは接続できません。
アウトバウンド接続のためにサーバーへのフルアクセスをブロックしたいですx.x.x.x。ただし、そのIPのユーザーがサーバーにアクセスしたい場合は、特定のポートを介してサイトにアクセスできる必要があります。
ベストアンサー1
試行中のファイアウォールルールはすぐに完了します。10.10.10.10そのアドレスへのアウトバウンドトラフィックをブロックしながら、ホストからのインバウンドトラフィックを許可するために必要な事項は次のとおりです。
- インバウンドを許可(すべてのポートが可能)
- 確立されたインバウンド接続へのアウトバウンド応答を許可する
- 残りのアウトバウンドトラフィックのブロック
だから、
iptables -A INPUT --src 10.10.10.10 --jump ACCEPT
iptables -A OUTPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT
iptables -A OUTPUT --dst 10.10.10.10 --jump DROP
これをINPUT達成するための将来のルールがある場合、またはポリシーがこの方法で設定されていない限り、実際にはこのルールは必要ありません。DENYREJECT