Primeiro, escreva um pequeno script para liberar as regras do iptables:
#!/bin/bash
echo "Stopping firewall and allowing everyone..."
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
(Você provavelmente não precisa dos comandos 'nat' e 'mangle'). Chame de 'flush.sh' e coloque o script no diretório '/ root'. Lembre-se de 'chmod + x flush.sh'.
Teste o script adicionando uma regra de iptables inofensiva, como
iptables -A INPUT -p tcp -j ACCEPT
e, em seguida, executando o script a partir da linha de comando. Verifique se a regra que você adicionou desapareceu.
Adicione o script ao crontab do root para executar a cada dez minutos:
*/10 * * * * /root/flush.sh
Adicione novamente a regra iptables inofensiva que você usou para testar o script. Aguarde dez minutos e verifique se sua tarefa do cron foi executada com êxito e removeu a regra.
Neste ponto, você deve poder depurar seu conjunto de regras iptables com a rede de segurança flush.sh em execução a cada dez minutos. Quando terminar de depurar suas regras, comente a linha no crontab que executa o script flush.sh.
Onde você coloca suas regras é um pouco dependente da distribuição. Para o Ubuntu, dê uma olhada em este link . No final, você verá duas opções para configurar permanentemente as regras de firewall - / etc / network / interfaces e usando a configuração do Network Manager. Como você está executando um servidor, a primeira opção provavelmente é melhor.
Você não deve precisar reinicializar para alterar ou liberar suas regras de iptables, a menos que você se bloqueie.
É melhor configurar o sshd para permitir somente o login de raiz usando autenticação de chave pública em vez de senha.
Se você tiver um gateway seguro disponível com um endereço IP fixo, como um servidor em seu escritório, em que você possa fazer login de qualquer lugar, seria bom ter uma regra iptables no servidor remoto para permitir o SSH somente desse gateway .
A alteração da porta SSH de 22 para outra é de valor muito limitado, pois a maioria dos scanners de portas encontrará a nova porta SSH rapidamente.