Em um servidor/firewall SSH (192.168.2.3) que possui uma LAN por trás dele, digamos 192.168.2.1/30, as tentativas de conexão feitas pelas máquinas internas da rede 192.168.2.1/30 serão interpretadas pelo firewall como entrada ou conexões de saída?
Se eles forem lidos como de entrada ou de saída, devo especificar o bloco de endereço de destino ou de origem (192.168.2.1/30)? Ou quando exatamente as opções -d ou -s são necessárias?
Meu entendimento é o seguinte: se eu quiser que essas máquinas internas façam novas conexões com o mundo exterior, a regra é a seguinte.
iptables -A OUTPUT -s 192.168.2.8/30 -m state --state NEW -j ACCEPT
e se o servidor SSH quisesse fazer novas conexões ssh com o mundo exterior a regra seria esta
iptables -A OUTPUT -p tcp --sport 22 -m state --state NEW -j ACCEPT
Nesse caso, devo omitir o endereço IP do servidor ssh ou incluí-lo na regra?
Muito obrigado.
Responder1
INPUTe OUTPUTsão definidos exclusivamente em relação ao sistema em que iptablesestá sendo executado. Em outras palavras, iptablesnão importa que tipo de sistema esteja em qualquer uma de suas interfaces; não importa se uma interface se conecta à sua LAN confiável, ou a uma DMZ, ou a um tanque cheio de tubarões com laptops.
INPUTsempre se refere ao trânsitoentrandouma interface externa, com o objetivo de terminar localmente. OUTPUTrefere-se ao tráfego originado localmente e que está prestes adeixaratravés de uma interface. FORWARDrefere-se ao tráfego que passa em uma interface e sai diretamente de outra.
O primeiro que você cita acima medeia o tráfego da 192.168.2.0/30LAN em uma interface, para o mundo externo em outra, de modo que ambos devem estar na FORWARDcadeia. O segundo medeia o tráfego do firewall para o mundo, então está tudo bem como está.
Embora eu possa acrescentar de passagem que isso não é exatamente uma LAN, e você provavelmente deveria verificar essa máscara de rede porque o firewall tem um endereço inválido no contexto da LAN (é o endereço de transmissão, que não deve ser atribuído a um único host ). Vernossa famosa pergunta canônica sobre sub-redes IPv4para uma discussão mais aprofundada.