Iptables, как закрыть флуд с машины на внешние IP?

Question

[Алексей]

Коллеги помогите советом, я не большой специалист в iptables поэтому нужна ваша помощь.

Ситуация следующая, есть софт работающий на CentOS 6 который периодически отправляет информацию на различные ip компании изготовителя. Адресов много и они периодически меняются, закрыть по ip не вариант. Нужно заткнуть этот фонтан. Но оставить возможность пользователям работать и удаленно подключаться.

Те надо прибить весь трафик с хоста, который инициирован самим хостом. Но разрешить исходящий трафик для пользователей, те типа reflexive acl если пользоваться терминами cisco.

Answer 1

[Алексей]

Спасибо, за ваш ответ! Но анализ запросов не поможет, она меняет ip куда шлет информацию (причем похоже периодически список обновляет), уже больше 15 адресов собрал, dns не использует. Стоит прибить один адрес она начинает слать по другому. Причем ip из разных подсетей.

Решил все с помощью правила:
iptables -I OUTPUT -o eth0 -m state --state NEW -j DROP

Comments

[mureevms]

эмм, так этим правилом не будет вообще ни каких исходящих соединений с хоста.
Можно было написать просто
iptables -A OUTPUT -j DROP
Но в поставленной задаче, системе надо отправлять "исходящий трафик для пользователей" и она это сделать не сможет.

Answer 2

[Владимир]

проанализировать DNS-запросы от софтины
прописать подсмотренные зоны на 127.0.0.1

если софтина работает не из под root-а, можно прибить iptables в цепочке OUTPUT таблицы filter, анализируя по пользователю

owner
This module attempts to match various characteristics of the packet creator, for locally-generated packets. It is only valid in the OUTPUT chain, and even then some packets (such as ICMP ping responses) may have no owner, and hence never match.

--uid-owner userid
Matches if the packet was created by a process with the given effective (numerical) user id.

--gid-owner groupid
Matches if the packet was created by a process with the given effective (numerical) group id.

--pid-owner processid
Matches if the packet was created by a process with the given process id.

--sid-owner sessionid
Matches if the packet was created by a process in the given session group.