Política Iptables para aceitar somente SSH e ICMP de entrada

Navegue suas respostas
1

Eu executei os seguintes comandos iptables para permitir conexões SSH e ICMP de entrada e bloquear todos os outros. 

sudo iptables -F INPUT
sudo iptables --policy INPUT ACCEPT && sudo iptables --policy OUTPUT 
ACCEPT && sudo iptables --policy FORWARD ACCEPT
sudo iptables -I INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -I INPUT -p icmp -j ACCEPT
sudo iptables -I OUTPUT -p tcp --sport 5051  -j REJECT
sudo iptables -A INPUT -j REJECT

A listagem resultante do iptables é semelhante a esta 

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere             match-set minuteman dst,dst tcp flags:FIN,SYN,RST,ACK/SYN reject-with icmp-port-unreachable
DOCKER-ISOLATION  all  --  anywhere             anywhere            
DOCKER     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere             tcp spt:ita-agent reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere             match-set minuteman dst,dst tcp flags:FIN,SYN,RST,ACK/SYN reject-with icmp-port-unreachable

Chain DOCKER (1 references)
target     prot opt source               destination         

Chain DOCKER-ISOLATION (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere

Eu vejo que a linha que aceita o SSH vem antes daquela que rejeita todo o outro tráfego. Mas ainda não consigo acessar o SSH na máquina.

Alguma pista de por que isso não está funcionando?

    
por Akhil Raina 11.08.2017 / 10:29

1 resposta

0

Se você só precisa permitir SSH e ICMP, espero que isso ajude você 

# Flush the FW Rules 
iptables -F
iptables  -X

# Block all traffic
iptables  -P INPUT DROP
iptables  -P FORWARD DROP
iptables  -P OUTPUT DROP


# Allow SSH
iptables  -A OUTPUT -p tcp --dport 22 -j ACCEPT 
iptables  -A INPUT -p tcp --dport 22 -j ACCEPT


# Allow ICMP (ping)
iptables  -A INPUT -p icmp -j ACCEPT
iptables  -A OUTPUT -p icmp -j ACCEPT
    
por 11.08.2017 / 11:43

Tags

Opções do módulo do driver Broadcom STA Atrasa algum tráfego do host local