Se você tiver uma política DROP INPUT padrão, até mesmo os pacotes response de suas conexões externas serão descartados.
Para aceitá-los, adicione esta regra de entrada:
iptables -I INPUT 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Quanto à sua última pergunta, no seu exemplo c and d
(assumindo regras vazias antes desses comandos), você está definindo uma regra de primeira regra drop everything
e segunda que aceitaria tráfego de uma certa rede. IPTABLES pega uma partida assim que possível, então a primeira regra sempre corresponde (sem condição definida), então todas as regras depois disso não serão executadas. Exceções a uma regra devem ser definidas antes da regra.
No primeiro exemplo -P INPUT DROP
, você está definindo uma regra última que detectará o que não foi correspondido antes, portanto, qualquer exceção adicionada será executada antes dessa regra padrão ( -P
).
-I
insere-se em uma determinada posição (por exemplo, no meu comando anterior, estou definindo a regra ESTABLISHED, RELATED como a primeira para que corresponda, independentemente do que você definir depois disso.
-A
é anexado à lista de regras, portanto, será correspondido antes do padrão.
Se você deseja alcançar o mesmo que o primeiro exemplo com regras explícitas (como c and d
), você deve trocar suas posses.