Aqui está a saída parcial do meu iptables:
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
22866 3280283 ufw-before-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0
22866 3280283 ufw-before-output all -- * * 0.0.0.0/0 0.0.0.0/0
3307 353252 ufw-after-output all -- * * 0.0.0.0/0 0.0.0.0/0
3307 353252 ufw-after-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0
3307 353252 ufw-reject-output all -- * * 0.0.0.0/0 0.0.0.0/0
3307 353252 ufw-track-output all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-output (1 references)
pkts bytes target prot opt in out source destination
2214 368749 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
7342 1051009 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
1884 204643 ufw-user-output all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-user-output (1 references)
pkts bytes target prot opt in out source destination
2 120 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Com base em meu entendimento, as regras são combinadas de cima para baixo. Quando um pacote é combinado com uma ação de término (por exemplo, ACCEPT), ele irá parar. Então por que o pacote ssh pode atingir a regra 3 na cadeia ufw antes da saída e ser descartado? Por que não é aceito pela regra 1 em Chain ufw-before-output?
A regra 1 na cadeia ufw-before-output tem a condição adicional de ser apenas para a interface local (lo). Os dois pacotes que atingem a regra DROP da cadeia de saída do usuário do ufw não seriam destinados à interface local. Eles também provavelmente eram novos pacotes syn de conexão tcp e, portanto, não satisfaziam a regra RELATED, ESTABLISHED.