Bloquear atualizações/portas - Debian em máquina crítica

Olá. Peço perdão caso eu esteja criando o tópico no local errado.

Recentemente, montei um sistema de vigilância de uma empresa de médio porte na minha cidade, todas as câmeras são ligadas em um computador simples (Beelink BT4) que executa o Debian com LXDE e um programa de gravação/visualização usando como base o FFmpeg, desenvolvido em C++ e Java.

A ideia inicial era usar o Windows para isso, mas, além do trabalho para portar completamente o sistema, teria que comprar uma licença e criaria um problema ainda maior com a segurança, já que Windows não atualizado exposto a uma rede é um colírio nos olhos para quem deseja invadir. Mesmo com o firewall do Windows bloqueado, vulnerabilidades não faltam.

Apesar de saber que o Debian é sólido como uma rocha e é extremamente raro uma atualização dar problema, quero bloquear qualquer atualização ou entrada/saída de tráfego. A única porta que ficará exposta é a 5900 (VNC) para conexão remota onde o usuário só observará a tela das câmeras e terá um botão para alterar entre elas, nada, além disso.

Em resumo: qual seria a maneira mais eficiente de bloquear qualquer atualização via apt e qualquer entrada/saída de tráfego, menos a porta do VNC? Não quero que nenhuma outra porta fique exposta à internet e gere problemas com segurança.

Não é uma boa ideia bloquear atualizações, mas enfim…
A melhor maneira deve ser com o UFW.

O VNC utiliza além da 5900TCP também precisa da 5800TCP e da porta 5500TCP se a pessoa tentar se conectar de um PC com Windows, a porta 443 também é indiscutivelmente necessária.
Você pode usar o iptables ou UFW. Exite muito conteúdo sobre iptables na internet e como no seu caso são poucos portas a serem manipuladas isso resultara em um script pequeno e simples.

Este tópico foi fechado automaticamente 3 dias depois da última resposta. Novas respostas não são mais permitidas.