Eu tenho um roteador para o qual estou personalizando as configurações. Quero permitir apenas o SSH da rede interna e descartar tudo o mais.
Isso é o que eu tenho até agora. Eu tentei e precisei redefinir meu roteador para me conectar a ele novamente, então acho que estou perdendo alguma coisa:
iptables -F INPUT
iptables -t filter -A INPUT --match state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT --destination 127.0.0.1 -i lo -j ACCEPT
iptables -t filter -A INPUT -s 192.168.11.0/24 --protocol tcp --dport $SSH_PORT -j ACCEPT
iptables -t filter -P INPUT DROP
iptables -F FORWARD
iptables -t filter -A FORWARD -s 192.168.11.0/24 --protocol tcp -j ACCEPT
iptables -t filter -P FORWARD DROP
iptables -F OUTPUT
Esse é um bom ponto de partida?
Não tenho certeza porque você tem o -P lá.
Veja como eu faria:
iptables -F INPUT
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT --destination 127.0.0.1 -i lo -j ACCEPT
iptables -t filter -A INPUT -s 192.168.11.0/24 -m tcp -p tcp --dport $SSH_PORT -j ACCEPT
iptables -t filter -A INPUT -j REJECT --reject-with-icmp-host-prohibited
Você não precisa usar a cadeia de ataque, mas se este for um script, você ainda deve fazer o flush de todas as correntes primeiro.
Você pode optar por usar DROP em vez de REJECT na última linha, se desejar.