กฎ IPTables เพื่ออนุญาตการเชื่อมต่อ SSH ขาเข้า

จุดประสงค์ของสคริปต์นี้คืออนุญาตการรับส่งข้อมูลผ่าน VPN เท่านั้นยกเว้น localhost <-> localhost และทราฟฟิก SSH ขาเข้า แต่เมื่อฉันรันสคริปต์ผ่าน SSH ฉันถูกตัดการเชื่อมต่อและถูกบังคับให้รีสตาร์ท vm เกิดอะไรขึ้นกับสคริปต์ของฉัน

#!/bin/bash
iptables -F

#Allow over VPN
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT

#Localhost
iptables -A INPUT -s 127.0.0.1/8 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1/8 -j ACCEPT

#VPN
iptables -A INPUT -s 123.123.123.123 -j ACCEPT
iptables -A OUTPUT -d 123.123.123.123 -j ACCEPT

#SSH
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#Default Deny
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP

ห่วงโซ่การส่งออกเป็นผู้รับผิดชอบใด ๆแพ็คเก็ตออกไป

สคริปต์ของคุณอนุญาตเฉพาะแพ็กเก็ตขาออกไปยังช่องสัญญาณอินเตอร์เฟสโฮสต์ท้องถิ่นและรีโมตโฮสต์ที่ 123.123.123.123

หากคุณกำลังเชื่อมต่อกับเซิร์ฟเวอร์ในลักษณะที่ต้องใช้ SSH daemon เพื่อส่งแพ็กเก็ตไปยังปลายทางอื่นนอกเหนือจากที่กล่าวมาข้างต้นการรับส่งข้อมูลจะไม่ได้รับอนุญาตให้ออกไป

ในการอนุญาตให้แพ็กเก็ตขาออกจาก SSH daemon ของคุณไปยังไคลเอ็นต์ SSH คุณต้องเพิ่มกฎต่อไปนี้:

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

คุณอาจต้องการเพิ่มเกณฑ์ IP ปลายทางในกฎด้านบนหากคุณเชื่อมต่อจากที่เดียวเท่านั้น กฎนี้ต้องมาก่อนกฎ DROP อย่างอื่นที่ดีที่สุดสำหรับห่วงโซ่ผลลัพธ์

#SSHกฎของคุณหมายถึง ssh เป็นรูปแบบการสื่อสารทางเดียวซึ่งไม่ใช่ กำลังส่งข้อมูลไปและกลับ

วิธีปกติในการจัดการกับสิ่งนี้เนื่องจากคุณไม่สามารถทราบหมายเลขพอร์ตในฝั่งไคลเอ็นต์ล่วงหน้าได้คืออนุญาตการเชื่อมต่อที่ถือว่า"เป็นที่ยอมรับ" หรือ "เกี่ยวข้อง"กับการเชื่อมต่อที่สร้างไว้แล้ว ในการทำสิ่งนี้คุณต้อง:

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

ก่อนDROPกฎของคุณ(และควรอยู่ด้านบนสุดเนื่องจากกฎจะถูกประมวลผลตามลำดับและทั้งสองจะใช้กับแพ็กเก็ตส่วนใหญ่)

มีคำอธิบายว่าการเชื่อมต่อ TCP กลายเป็นสิ่งที่เกิดขึ้นได้อย่างไรที่นี่ ; โดยพื้นฐานแล้วความจริงของเซิร์ฟเวอร์ที่ตอบแพคเก็ตที่#SSH INPUTกฎของคุณอนุญาต