Řešení 1:
V tom pěkném GUI jsem žádnou možnost nenašel, ale je to možné přes přímé rozhraní
Chcete-li povolit pouze odchozí port 80:
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p tcp -m tcp --dport=80 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -j DROP
Tím se přidá k trvalým pravidlům, nikoli pravidlům za běhu.
Budete muset znovu načíst trvalá pravidla, aby se z nich stala pravidla běhu.
firewall-cmd --reload
pro zobrazení trvalých pravidel
firewall-cmd --permanent --direct --get-all-rules
pro zobrazení pravidel běhu
firewall-cmd --direct --get-all-rules
Řešení 2:
Poté, co jsem sám položil stejnou otázku a s trochou šťourání, jsem shromáždil několik pěkných pravidel pro omezení odchozího provozu na dotazy HTTP/HTTPS a DNS:
Povolit navázaná připojení:
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Povolit HTTP:
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 80 -j ACCEPT
Povolit HTTPS:
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 443 -j ACCEPT
Povolit dotazy DNS:
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 53 -j ACCEPT
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p udp --dport 53 -j ACCEPT
Vše ostatní popřít:
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -j DROP
Možná by bylo dobré nejprve otestovat vynecháním argumentu '--permanent'.
Nejsem v žádném případě odborník, ale zdá se mi, že to funguje dobře :)
Nelze připojit disk (VFS:Nelze najít souborový systém ext4)
Správný způsob interpretace zatížení systému na 4jádrovém 8vláknovém procesoru