Estoy intentando crear algunas reglas básicas de iptables para mi VDS:
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP
Quiero bloquear cualquier tráfico entrante excepto el tráfico SSH y WEB. Pero después de aplicar las reglas y reiniciar el sistema, se necesitan 30 segundos para iniciar sesión a través de SSH, el proceso de inicio de sesión es muy lento, pero funciona perfectamente después de conectarme.
¿Qué reglas debo agregar para que el inicio de sesión mediante SSH sea más rápido?
Respuesta1
De iptables --help:
--numeric -n numeric output of addresses and ports
https://serverfault.com/questions/85602/iptables-l-pretty-slow-is-this-normal
Incluya la -nopción para que no intente usar DNS para resolver nombres para cada dirección IP, red y puerto. Entonces será rápido.
https://help.ubuntu.com/community/IptablesHowTo
Permitir sesiones establecidas
Podemos permitir que sesiones establecidas reciban tráfico:
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Si la línea anterior no funciona, es posible que estés en un VPS castrado cuyo proveedor no haya puesto a disposición la extensión, en cuyo caso se puede utilizar una versión inferior como último recurso:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Editado porque help.ubuntu.com ofrece una solución mejor y más completa.ignorar abajo
Regla para aceptar tráfico basado en el tráfico existente
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Respuesta2
Resolví el mismo problema después de ejecutar los dos comandos siguientes
# Allow Established and Related Incoming Connections
iptables -I INPUT 1 -m conntrack --ctstate ESTABLISH
ED,RELATED -j ACCEPT
# Allow Established Outgoing Connections
iptables -I OUTPUT 1 -m conntrack --ctstate ESTABLISHED -j ACCEPT
Estos dos comandos provienen deConceptos básicos de Iptables: reglas y comandos comunes de firewall.