Estamos configurando um firewall para uma máquina que deve permitir:
Optamos por usar REJECT over DROP, pelo menos até terminarmos nossos testes atuais.
*filter
# Allow all loopback (lo0) traffic and reject traffic to localhost that does not originate from lo0.
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -s 127.0.0.0/8 -j REJECT
# Reject ICMP redirect.
-A INPUT -p icmp --icmp-type 5 -j REJECT
# Allow ICMP (the types which are not rejected).
-A INPUT -p icmp -j ACCEPT
# Allow SSH connections from specific address
-A INPUT -p tcp --dport 22 -s x.x.x.x -j ACCEPT
# Allow inbound traffic from established connections, including ICMP error returns.
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Log what was incoming but denied (optional but useful).
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables_INPUT_denied: " --log-level 7
# Reject all other inbound.
-A INPUT -j REJECT
# Log any traffic which was sent to you for forwarding (optional but useful).
-A FORWARD -m limit --limit 5/min -j LOG --log-prefix "iptables_FORWARD_denied: " --log-level 7
# Reject all traffic forwarding.
-A FORWARD -j REJECT
COMMIT
A máquina está atrás de um roteador NAT e a porta 22 é encaminhada para ele.
Ao tentar se conectar a partir de um endereço IP não autorizado, a conexão com o host expira após um minuto ou mais.
ssh: connect to host x.x.x.x port 22: Connection timed out
Isso é esperado? Eu estava pensando que o REJECT resultaria em falha de conexão razoavelmente imediata. Poderia ser porque o pacote REJECT ICMP não retorna à máquina conectada?