Как понять «в iptables исходящие порты сделать в узком диапазоне»?

А спросить у постановщика задачи, что имеется ввиду?

Как говорит старинная исландская поговорка: самый простой способ получить ответ - это задать вопрос.
Задай вопрос своему руководству, чтобы уточнили задачу

Как то неудобно задавать такие вопросы, учитывая, что я на испытательном. Вдруг очевидно всё, а я такие глупые вопросы задаю.

Лучше спросить и сделать как надо, показав. что инструментарием ты владеешь, пусть и не знаешь абсолютно всю терминологию, чем сделать не то, что надо, показав, что ты можешь запороть проект, просто постеснявшись уточнить ТЗ.

в iptables исходящие порты сделать в узком диапазоне.

Создать список необходимых и достаточных портов для исходящего трафика, их открыть, остальное заблокировать.

учитывая, что я на испытательном

Добавь требование DAC: создай список необходимых и достаточных портов в разрезе пользователей, и открой доступ к портам для исходящего трафика только необходимому и достаточном количеству пользователей.

Спасибо!

Как то неудобно задавать такие вопросы, учитывая, что я на испытательном. Вдруг очевидно всё, а я такие глупые вопросы задаю.

Не учитываешь, что дальше вопросы могут быть сложнее? Пока ты на испытательном и если народ адекватный, то задать пару-тройку глупых вопросов аля «уточнить» - это нормально.

Расскажи потом, что они имели ввиду.

Расскажи потом, что они имели ввиду.

Присоединяюсь! Мне тоже интересно

Для чего сетевой экран нужен? Рабочья станция, сервер, роутер?

О, кстати, отличная метода дураков отсеивать. Надо давать им заведомо неверную дурацкую задачу и смотреть на поведение. Спасибо, так и буду делать.

Какой-то бессмысленный набор слов.

Возможно, речь идёт про ограничение диапазона destination port для исходящих соединений. Скорее всего, тебе в начальники достался болван с кашей в голове.

Тогда анонимус прав и заслужил респект за оперативный перевод с псевдотехнического на технический

Ммм нет. Анонимус не указал с какой стороны исходящего соединения надо ограничить порты. Как ты себе представляешь ограничивать source port?

В том посте анон имел ввиду дестинашион порт.

Сорсе порт можно ограничить для исходящего трафика также. Но анон предлагает обратить внимание на возможность фильтрации исходящего трафика по пользователям.

Хз какой там «началиник», а так топикпастер скажет: вот отфильтровать весь исходящий трафик по пользователям и по портам к которым они подключаются. Что еще дополнительно надо? Могу также отфильтровать еще ….

Как ты себе представляешь ограничивать source port?

через net.ipv4.ip_local_port_range 👍

Класс. Спасибо.

У нас эта таска в Yougile, там и задал ему этот вопрос, но он почему-то его пропустил ) Не заглядывал туда так как сейчас пишем конфиги nginx и только после них вплотную файерволом займемся. Еще раз ему сейчас задал этот вопрос.

Для VPSов с предустановленным ISPmanager

Для VPS нет смысла вам писать сетевой экран, его напишет админ который требует VPS.

Для хост машины сетевой экран, таблицу форвард, тоже сложно угадать.. Инпут аутпут для хост машины можно написать.

Требуй номера портов какие будут использоваться, у любого сервиса можно выставить не стандартные порты.