Googleからの着信接続を確認するのは正常ですか？

インターネットを閲覧するたびに、ログにGoogleからの接続試行が表示されます。このログ：

Jan 20 12:30:50 HOSTNAME kernel: Dropped: IN=wlp7s0 OUT= MAC=30:3a:64:02:f1:a7:e8:e7:32:c1:75:69:08:00 SRC=216.58.195.65 DST=10.113.194.49 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=2933 PROTO=TCP SPT=443 DPT=40324 WINDOW=0 RES=0x00 RST URGP=0

ファイアウォールがこの着信接続をドロップしていることを教えてくれます。私のファイアウォールルールが言うように：

-A INPUT -i all -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -m comment --comment "https" -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -m comment --comment "https" -j ACCEPT

つまり、ポート443への着信パケットは、初期化した場合にのみ許可されます。これは、Googleが接続を初期化しようとしていると思うようになります。ブロックしても大丈夫ですか？これは正常ですか？

私はFirefoxを使用しています。

これは新しい接続ではありません。これはRST、Googleの構内のサーバーによって送信された（TCPリセット）パケットであり、接続の終了/終了を示します（TCP状態FIN_WAIT）。システムがテーブルから接続を削除するのが早すぎるため、ファイアウォールがRSTパッケージを新しい接続として誤って解釈する場合があります。

また、iptablesルールは少し奇妙に見えます。HTTPS Webブラウジングを許可するには、次を使用するだけで十分です。

iptables -I OUTPUT -p tcp --dport=443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

発信元ポートを443（--sport = 443）と想定して、どこからでも着信接続（RELATED / ESTABLISHED）を受け入れる理由がない

サーバーアクティビティを実行していない場合は、デフォルトポリシーを使用してINPUTチェーンを制限できます。

iptables -P INPUT DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

次に、必要に応じて、特定のポートを開くことができます。ローカルWebサーバーを実行する場合：

iptables -A INPUT -p tcp --dport=80 -d <<your-host-here>> -j ACCEPT