É esperado um tempo limite de conexão SSH quando o iptables está definido como REJECT?

tag-icon tag-icon ssh iptables timeout
É esperado um tempo limite de conexão SSH quando o iptables está definido como REJECT?

Estamos configurando um firewall para uma máquina que deve permitir:

  • conexões SSH recebidas de endereços IP específicos;
  • ICMP, exceto para redirecionamento.

Optamos por usar REJECT em vez de DROP, pelo menos até terminarmos nossos testes atuais.

*filter

# Allow all loopback (lo0) traffic and reject traffic to localhost that does not originate from lo0.
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -s 127.0.0.0/8 -j REJECT

# Reject ICMP redirect.
-A INPUT -p icmp --icmp-type 5 -j REJECT

# Allow ICMP (the types which are not rejected).
-A INPUT -p icmp -j ACCEPT

# Allow SSH connections from specific address
-A INPUT -p tcp --dport 22 -s x.x.x.x -j ACCEPT

# Allow inbound traffic from established connections, including ICMP error returns.
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Log what was incoming but denied (optional but useful).
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables_INPUT_denied: " --log-level 7

# Reject all other inbound.
-A INPUT -j REJECT

# Log any traffic which was sent to you for forwarding (optional but useful).
-A FORWARD -m limit --limit 5/min -j LOG --log-prefix "iptables_FORWARD_denied: " --log-level 7

# Reject all traffic forwarding.
-A FORWARD -j REJECT

COMMIT

A máquina está atrás de um roteador NAT e a porta 22 é encaminhada para ela.

Ao tentar se conectar a partir de um endereço IP não autorizado, a conexão com o host expira após cerca de um minuto.

ssh: connect to host x.x.x.x port 22: Connection timed out

Isso é esperado? Eu estava pensando que REJECT resultaria em falha de conexão bastante imediata. Será que o pacote REJECT ICMP não retorna à máquina conectada?

informação relacionada