Você pode ativar o UFW e, em seguida, emitir estes comandos:
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport ssh -j ACCEPT
Isso certamente permitirá ssh . Se você gosta da configuração, você pode escrever estas duas linhas dentro do arquivo /etc/rc.local , e elas serão aplicadas na inicialização (sem necessidade de sudo , em este caso).
EDITAR
Existem basicamente três arquivos de importância, em / etc / ufw: sysctl.conf, after.rules, before.rules. Os arquivos restantes dizem respeito a regras para IPv6 (after6 | before6.rules), as definições da porta usada por um punhado de aplicativos (no subdiretório ./ applications.d ) e o arquivo a ser iniciado < em> ufw , ufw.conf .
sysctl.conf substitui completamente o /etc/sysctl.conf, sendo assim apenas uma duplicata. Ele contém informações para o kernel que se destina a um conjunto de medidas de segurança.
As regras são separadas em antes e depois (as linhas inseridas na linha de comando), porque a ordem é importante: ao ler uma série de regras, o firewall aplicará a primeira regra relevante, seja ACCEPT, DROP , como queiras; as regras restantes são então nem mesmo lidas . Segue-se que regras muito específicas precedem as regras gerais.
As regras anteriores são simples: elas permitem pacotes de loopback e ICMP (= pings), drop INVALID , permitem a passagem de pacotes se a conversa já tiver começado (o equivalente à minha regra 1 acima), permitir DHCP, e o tráfego local, que é essencialmente essencial para a operação da LAN, isto é, especialmente descoberta de rede, multicast e transmissão.
As regras after impedem apenas o registro de portas que produzem muito material.
Uma única regra pode ser lida da seguinte forma:
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT
Isto adiciona (-A) à tabela antes da entrada a regra que aceita pacotes de protocolo UDP que se originaram (sport = source port) da porta 67 e que são destinados para a porta 68 (dport = porta de destino). Esta tabela é lida em INPUT, de modo que é ignorada sempre que o kernel está lidando com um pacote OUTPUT ou FORWARD (ambos os tipos de pacotes estão saindo, mas os pacotes OUTPUT são originados na máquina this , enquanto FORWARD pacotes originados em outros lugares e estão se movendo para o seu destino final).