Tengo un problema en un servidor recién configurado en Hetzner-Cloud que ejecuta Ubuntu 18.04 LTS.
Después de instalar Iptables(-persistent) y configurar el siguiente conjunto de reglas:
root@inetsec:/home/linus# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere 1.2.3.4 tcp dpt:272
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Todavía puedo obtener un protocolo de enlace TCP exitoso usando Telnet, usando varios otros puertos (110, 143, 25, 993).
Aun así, las aplicaciones responsables de estos puertos (Dovecot y Postfix) ni siquiera se están ejecutando y netstat -tulpenmuestran:
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 112 20485 1198/mysqld
tcp 0 0 1.2.3.4:272 0.0.0.0:* LISTEN 0 18773 1047/sshd
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 101 19746 1113/systemd-resolv
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 111 19076 1004/named
udp 0 0 127.0.0.53:53 0.0.0.0:* 101 19745 1113/systemd-resolv
udp 0 0 127.0.0.1:53 0.0.0.0:* 111 19075 1004/named
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 18955 1173/dhclient
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 15042 816/dhclient
, todavía recibo un protocolo de enlace TCP en los puertos mencionados usando telnet, en lugar del tiempo de espera esperado (debido a la política INPUT DROP) o al menos un ICMP-Destination Unreachable (3)mensaje para los puertos cerrados.
Un problema que encontré es que si reinicio el servidor con el conjunto de reglas de iptable guardado ( iptables-save > /etc/iptables/rules.v4), el servidor se bloquea durante unos 5 minutos en estado.
....
iscsi: registered transport (tcp)
iscsi: registered transport (user)
antes de habilitar el inicio de sesión.
Además, se necesitan unos 15 segundos para ejecutar el comando.iptables -L