Блокировка исходящий соединений на виртуальном хостинге

Это какая-то дзен загадка? Продолжаю перечитывать и вникать в смысл слов. :)

Честно говоря не вижу причин, если ты знаешь что у тебя должно ходить, куда и как .... какие проблемы? У меня даже по uid\gid правила есть в файрволе на tcp/udp/icmp.. Использую при этом cPanel, никаких аномалий не замечаю.

Конечно можно залочить ВСЕ на исход и разрешить соединения только для uid демонов, т.е апача , фтп, прочего...... но найдется же тот, кто через SSH захочет wget-ом качнуть что-то или каким-то скриптом стрельнуть куданить за информацией..... Тут скорее всего основная причина, это твое желание "открывать что надо" индивидуально для клиента.

а зачем блокировать?

Мне нужно заблокировать весь аутбаунд трафик (не ESTABLISHED). Но я точно помню, что когда работал в хостинге админом, то не смог этого сделать по организационным причинам - некоторым пользователям нужно обращаться на другие серверы на рандомные порты. Но вот точно причину вспомнить не могу. Потому и спросил

Хостинг виртуальный, это не сервер для моих нужно, где я точно знаю чего хочу. Клиенту иногда надо непойми куда и эта нужна не имеет никакой криминальной подоплеки. Не могу вспомнить что за нужна такая, но она была.

Индивидуально для клиента я ничего делать не могу, потому что это сервис уровня VIP, а у меня массовый характер хостинга. Проблема в исходящем скане портов. Как закрыть его грамотно я пока не знаю. Отловить его tcpdump'ом или просигнализировать через iptables в лог - не проблема, но как закрыть скан - ума не приложу. То есть нужно не решение, как обратить внимание и руками убить, а так, чтобы сделать один раз и забыть про эту тему.

FTP в пассив моде на сторонний сервер?

Все зависит от хостинга

На некоторых надо писать в поддержку и давать объяснение, зачем им нужен коннект к удаленному серверу открыть

Думаю достаточно ограничить лимит исходящих соединений, так, чтобы под обыденные нужды хватало, а под скан нет.