Normalmente, o estado NEW
será usado para filtrar casos que você não deseja ver como o primeiro pacote de um fluxo.
Por exemplo:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Largará tudo que não se parece com um pacote SYN
do TCP válido.
Se o seu caso de uso permitir que o mundo se conecte à porta do servidor 443, permita que o servidor responda e a conexão seja estabelecida, você precisará adicionar a segunda regra, mas o estado NEW
não é obrigatório .
Assim, sua configuração pode ser:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW --dport 443 -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Ou
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Ou (melhor)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT