As regras do iptables no servidor tinham uma cadeia de regras "anti ssh bruteforce" que usa o módulo "recente" para descartar conexões depois que 4 tentativas foram feitas dentro de 1 minuto.
Essa regra tinha uma exceção na cadeia INPUT
, para permitir todo o ssh do nosso IP de face. Conforme nos movemos, o IP do rosto mudou e a regra teve que ser adaptada. Para referência, é assim que eu fiz isso
Listar todas as regras do iptables
# iptables -L --line-numbers
Observe a regra de aceitação na cadeia INPUT
, que foi configurada para aceitar todas as conexões ssh de nosso endereço IP anterior (anterior) e a regra anti bruteforce que desconecta conexões ssh após várias tentativas na cadeia SSH_CHECK
:
Chain INPUT (policy ACCEPT)
num target prot opt source destination
...
14 ACCEPT tcp -- old.myISP.com anywhere tcp dpt:ssh
...
Chain SSH_CHECK (1 references)
num target prot opt source destination
...
3 DROP all -- anywhere anywhere recent: UPDATE seconds: 60 hit_count: 4 TTL-Match name: RECENT_SSH side: source
Editando as regras em /etc/iptables.rules
Alterar
-A INPUT -s 123.45.67.8/32 -p tcp -m tcp --dport 22 -j ACCEPT
para
-A INPUT -s 111.222.33.44 -p tcp -m tcp --dport 22 -j ACCEPT
em que 111.222.33.44 é o novo IP da face. E leia nas regras adaptadas:
# iptables-restore < /etc/iptables.rules