Estamos configurando un firewall para una máquina que debería permitir:
- conexiones SSH entrantes desde direcciones IP particulares;
- ICMP, excepto para redirección.
Hemos optado por utilizar REJECT en lugar de DROP, al menos hasta que hayamos terminado nuestras pruebas actuales.
*filter
# Allow all loopback (lo0) traffic and reject traffic to localhost that does not originate from lo0.
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -s 127.0.0.0/8 -j REJECT
# Reject ICMP redirect.
-A INPUT -p icmp --icmp-type 5 -j REJECT
# Allow ICMP (the types which are not rejected).
-A INPUT -p icmp -j ACCEPT
# Allow SSH connections from specific address
-A INPUT -p tcp --dport 22 -s x.x.x.x -j ACCEPT
# Allow inbound traffic from established connections, including ICMP error returns.
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Log what was incoming but denied (optional but useful).
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables_INPUT_denied: " --log-level 7
# Reject all other inbound.
-A INPUT -j REJECT
# Log any traffic which was sent to you for forwarding (optional but useful).
-A FORWARD -m limit --limit 5/min -j LOG --log-prefix "iptables_FORWARD_denied: " --log-level 7
# Reject all traffic forwarding.
-A FORWARD -j REJECT
COMMIT
La máquina está detrás de un enrutador NAT y se le reenvía el puerto 22.
Al intentar conectarse desde una dirección IP no autorizada, la conexión con el host se agota después de aproximadamente un minuto.
ssh: connect to host x.x.x.x port 22: Connection timed out
¿Se espera esto? Estaba pensando que el RECHAZO resultaría en una falla de conexión bastante inmediata. ¿Podría ser porque el paquete REJECT ICMP no regresa a la máquina que se conecta?