Bloqueia conexões de saída no RHEL7 / CentOS7 com firewalld?

Eu não encontrei nenhuma opção nessa boa interface gráfica, mas é possível via interface direta

Para ativar apenas a porta de saída 80:

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p tcp -m tcp --dport=80 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -j DROP

Isso adicionará a regras permanentes, não as regras de tempo de execução.
Você precisará recarregar as regras permanentes para que elas se tornem regras de tempo de execução.

firewall-cmd --reload

para exibir regras permanentes

firewall-cmd --permanent --direct --get-all-rules

para exibir regras de tempo de execução

firewall-cmd --direct --get-all-rules

Depois de fazer a mesma pergunta, e com alguns ajustes, reuni algumas regras legais para restringir o tráfego de saída para consultas HTTP / HTTPS e DNS:

Permitir conexões estabelecidas:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Permitir HTTP:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 80 -j ACCEPT

Permitir HTTPS:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 443 -j ACCEPT

Permitir consultas DNS:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 53 -j ACCEPT
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p udp --dport 53 -j ACCEPT

Negue todo o resto:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -j DROP

Pode ser uma boa ideia testar primeiro omitindo o argumento '- permanente'.

Eu não sou de forma alguma um especialista, mas isso parece funcionar bem por mim:)

Em relação à GUI; Acho que você encontra isso em " Configuração direta ". Para acessá-lo, você deve selecioná-lo em " Visualizar ". Eu posso estar errado.

Nota lateral

Para excluir regras; você tem que sair e voltar a entrar.