1. Configuració de regles per filtrar el tràfic que genera el FW amb IPTABLES

1.1 Permetre només tràfic per DNS i HTTP(S)

Per permetre només tràfic per DNS i HTTP(S) executem les següents comandes:

iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --match multiport --dports 80,443 -j ACCEPT

1.2 Permetre tràfic essencial

1.2.1 Permetre tràfic local

Permetem el tràfic local perquè el firewall pugui comunicar-se amb ell mateix (loopback):

iptables -A OUTPUT -o lo -j ACCEPT

1.2.2 Permetre DNS (per resolució de noms)

Permetem que el firewall es comuniqui amb el servei DNS:

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT

1.2.3 Permetre actualitzacions i gestió remota

Si volem que el firewall permeti actualitzacions i gestió remota, afegim aquestes regles:

iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT   
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT  
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

1.3 Permetre serveis específics

1.3.1 Permetre NTP (sincronització d’hora)

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT

1.3.2 Permetre tràfic ICMP (pings sortints)

Si volem que el firewall pugui fer ping a altres servidors:

iptables -A OUTPUT -p icmp -j ACCEPT

1.4 Bloquejar tràfic sospitós

1.4.1 Bloquejar tràfic cap a xarxes privades

Evitem que el firewall intenti enviar tràfic sortint cap a xarxes internes:

iptables -A OUTPUT -d 10.0.0.0/8 -j DROP
iptables -A OUTPUT -d 172.16.0.0/12 -j DROP
iptables -A OUTPUT -d 192.168.0.0/16 -j DROP

1.4.2 Bloquejar tràfic de ports alts cap a internet

iptables -A OUTPUT -p tcp --dport 32768:60999 -j DROP

2. Guardem els canvis

Finalment, guardem els canvis i reiniciem el servei IPTABLES:

service iptables save
sudo systemctl restart iptables