En un servidor SSH/firewall (192.168.2.3) que tiene una LAN detrás, digamos 192.168.2.1/30, ¿el firewall interpretará los intentos de conexión realizados por las máquinas internas de la red 192.168.2.1/30 como entrantes o conexiones salientes?
Si se leen como entrantes o salientes, ¿debo especificar el bloque de direcciones de destino o de origen (192.168.2.1/30)? ¿O cuándo se necesitan exactamente las opciones -d o -s?
Mi entendimiento es el siguiente: si quiero que esas máquinas internas establezcan nuevas conexiones con el mundo exterior, la regla es la siguiente.
iptables -A OUTPUT -s 192.168.2.8/30 -m state --state NEW -j ACCEPT
y si el servidor SSH quisiera hacer nuevas conexiones ssh con el mundo exterior, la regla sería esta
iptables -A OUTPUT -p tcp --sport 22 -m state --state NEW -j ACCEPT
En este caso, ¿debería omitir la dirección IP del servidor ssh o incluirla en la regla?
Muchas gracias.
Respuesta1
INPUTy OUTPUTse definen únicamente con respecto al sistema en el que iptablesse está ejecutando. Para decirlo de otra manera, iptablesno le importa qué tipo de sistemas haya en cualquiera de sus interfaces; no importa si una interfaz se conecta a su LAN de confianza, a una DMZ o a un tanque lleno de tiburones con computadoras portátiles.
INPUTsiempre se refiere al tráficoentrandouna interfaz desde el exterior, con vistas a terminar localmente. OUTPUTse refiere al tráfico que se originó localmente y está a punto dedejara través de una interfaz. FORWARDse refiere al tráfico que pasa por una interfaz y sale directamente por otra.
El primero que citó anteriormente media el tráfico desde la 192.168.2.0/30LAN en una interfaz hacia el mundo exterior en otra, por lo que ambos deberían estar en la FORWARDcadena. El segundo media el tráfico desde el firewall hacia el mundo, por lo que está bien tal como está.
Aunque puedo agregar de paso que eso no es una gran LAN, y probablemente deberías verificar esa máscara de red porque el firewall tiene una dirección no válida en el contexto de la LAN (es la dirección de transmisión, que no debería asignarse a un solo host). ). Vernuestra famosa pregunta canónica sobre subredes ipv4para mayor discusión.