我是否需要使用 iptables 過濾 OUTPUT 以獲得專用的防火牆盒？

我已經知道如何使用 設置防火牆iptables，但是在訪問 IT 安全部門後，他們說我需要過濾OUTPUT，但是，這對我來說毫無意義，我真的可以找到我需要這樣做的場景。所以，這是我的第一個問題：

我真的需要過濾OUTPUT嗎？

我OUTPUT預設接受所有並且沒有規則。這是安全漏洞嗎？

他們還說我有代表安全漏洞的規則，我不同意。讓我們FORWARD以此為例：

-P FORWARD DROP
-A FORWARD -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -s XX.XX.XX.XX/24 -d XX.XX.XX.XX/32 -p tcp --dport 80 -j ACCEPT

他們說，在ESTABLISHED沒有指定source和destination作為第一條規則的情況下接受是一種安全漏洞。真的嗎？這是另一個安全漏洞嗎？ACCEPT ESTABLISHED不指定sourceand是不好的做法destination？

從安全形度來看，該策略通常是*“所有不允許的都將被拒絕”*，在這方面，OUTPUT鏈上的過濾屬於該一攬子策略。

該**OUTPUT鏈涉及來自執行 iptables 的設備的**傳出 TCP/IP 數據包和連接，而不是通過防火牆的數據包。

管理員應該知道設備的正常使用和預期用途是什麼，並且還應該能夠為OUTPUT鏈生成合適的過濾規則。

對於一個不能太多的防火牆……

我希望可能是 DNS、NTP 和 syslog 流量到特定主機。

在伺服器的實踐中，我不經常看到OUTPUT鏈上的過濾，每個伺服器只是選擇性地打開服務和過濾器INPUT，而傳出的流量在網路邊界（網段）上被過濾。這個想法是主機級別的防火牆也可以從主機進行修改，因此對於惡意管理員來說並沒有太大的障礙，一旦主機被完全破壞，也不會提供太多的保護。

過濾傳出流量，即通過網路邊界上的防火牆將流量從“內部”路由（轉發）到“外部”（反之亦然）通常稱為出口過濾，並且發生在FORWARD鏈中，而不是OUTPUT鏈中。

出口過濾是一件好事，絕對是你應該做的事情。

引用自：https://serverfault.com/questions/697692