Olá. Peço perdão caso eu esteja criando o tópico no local errado.
Recentemente, montei um sistema de vigilância de uma empresa de médio porte na minha cidade, todas as câmeras são ligadas em um computador simples (Beelink BT4) que executa o Debian com LXDE e um programa de gravação/visualização usando como base o FFmpeg, desenvolvido em C++ e Java.
A ideia inicial era usar o Windows para isso, mas, além do trabalho para portar completamente o sistema, teria que comprar uma licença e criaria um problema ainda maior com a segurança, já que Windows não atualizado exposto a uma rede é um colírio nos olhos para quem deseja invadir. Mesmo com o firewall do Windows bloqueado, vulnerabilidades não faltam.
Apesar de saber que o Debian é sólido como uma rocha e é extremamente raro uma atualização dar problema, quero bloquear qualquer atualização ou entrada/saída de tráfego. A única porta que ficará exposta é a 5900 (VNC) para conexão remota onde o usuário só observará a tela das câmeras e terá um botão para alterar entre elas, nada, além disso.
Em resumo: qual seria a maneira mais eficiente de bloquear qualquer atualização via apt e qualquer entrada/saída de tráfego, menos a porta do VNC? Não quero que nenhuma outra porta fique exposta à internet e gere problemas com segurança.