Безопасно ли закрывать все порты на выход кроме пары?

Question

[V K]

Есть VPS (Ubuntu 22.10 x64) с маленьким лимитом на исходящий трафик, используется только под OpenVPN на 443-ем порту. По монитору простаивающий вхолостую сервер постоянно гонит исходящий трафик 500b/s, которого и так кот наплакал.
Можно ли безопасно для работоспособности сервера заблокировать все порты на выход за исключением 22 и 443?

Буду благодарен не только за ответ "да" или "нет", но и за строку iptables, ибо сам профан.

Спасибо!

Comments

[AlexVWill]

Во 1-х неправильно (а как например будет DNS работать по 53 порту?), а во 2-х нет смысла вообще какие то исходящие лочить. Откуда вообще такая идея в голове возникла?

[V K]

Откуда вообще такая идея в голове возникла?

Л — логика!))) Если каким-то путём уходит, значит надо перекрыть дорожку. Иначе с моим опытом будет очень сложно вычислять процессы которые этот траф генерят, и даже если найду, то не знаю, что с этим делать. А идея перекрыть все порты кроме 2х-3х выглядит здравой

[AlexVWill]

V K, это очень тупая идея, почему - я выше написал... Если идет какой то трафик то а) он нужен, b) если он непонятен, то см п. а c)если он таки не нужен, надо бороться с причиной этого трафика, т.е. с той службой, что его генерит.
К тому же сейчас может быть и нет никакого исходящего трафика, а через несколько минут он есть, например проверка обновления служб. Служба не видит сервера - думает что интренет отвалился, пытается перезапуститься - отваливается, и сервер глючил. Потом возникают вопросы тут: "у меня все поломалось, памагите!" )))
Короче, не надо себе проблемы на ровном месте создавать, лучше решить вопрос с лимитом трафика.

[maxsmeller]

А как ты будешь использовать сервер с таким лимитом под VPN? Ведь трафик, который будет идти от твоего VPN в сторону твоего устройства для VPS будет исходящим. VPN с лимитом 500 мб в месяц? Лучше никакой, чем такой.

Answer 1

[AUser0]

Вот так:

iptables -I OUTPUT -o vpn-if -p tcp -m multiport ! --dports 22,53,443 -j REJECT

vpn-if заменить на свой интерфейс VPN-на.

Восстанавливать командой:
systemctl restart iptables

Answer 2

[Drno]

Нет. Тебе надо открыть еще 80й, 53й и наверняка еще что то побочное, типо NTP
Гонит - значит или автообновления работают, или ты по впн подключен.

А мало траф это сколько?

Не проще другой впс арендовать? Цена простых конфигов в европе - 200р-250р

Comments

[V K]

А мало траф это сколько?

500MB

Не проще другой впс арендовать? Цена простых конфигов в европе - 200р-250р

Примерно эти деньги и есть. Если я правильно посчитал, то при скорости 500b/s за месяц утекает примерно 160MB, что 30% от всего объёма. В моём случае — критично

[Drno]

V K, может 500Gb ????
Блин. Если тебе под впн - арендуй на vdsina или justhost - цена 200р
Трафика - дохрена и больше
Просто 500мб это вообще ниочём. У меня 1 фильм в фуллхд весит 12000 мб ))