들어오는 SSH 연결을 허용하는 IPTables 규칙

이 스크립트의 목적은 localhost <-> localhost 및 들어오는 SSH 트래픽을 제외하고 VPN을 통한 트래픽 만 허용하는 것입니다. 그러나 SSH를 통해 스크립트를 실행하면 연결이 끊어지고 VM을 다시 시작해야합니다. 내 스크립트에 어떤 문제가 있습니까?

#!/bin/bash
iptables -F

#Allow over VPN
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT

#Localhost
iptables -A INPUT -s 127.0.0.1/8 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1/8 -j ACCEPT

#VPN
iptables -A INPUT -s 123.123.123.123 -j ACCEPT
iptables -A OUTPUT -d 123.123.123.123 -j ACCEPT

#SSH
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#Default Deny
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP

출력 체인은 모든 패킷 전송을 담당 합니다.

스크립트는 아웃 바운드 패킷이 123.123.123.123에서 인터페이스, 로컬 호스트 및 원격 호스트로 터널링 할 수 있도록합니다.

SSH 데몬이 위의 것 이외의 대상으로 패킷을 보내도록 서버에 연결하는 경우 트래픽이 나가지 않습니다.

SSH 데몬에서 SSH 클라이언트로의 아웃 바운드 패킷을 허용하려면 다음 규칙을 추가해야합니다.

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

단일 위치에서만 연결하는 경우 위의 규칙에 대상 IP 기준을 추가 할 수도 있습니다. 이 규칙은 출력 체인에 대한 궁극적 인 'DROP any other'규칙보다 우선해야합니다.

귀하의 #SSH규칙은 ssh가 의사 소통의 한 가지 방법 인 것을 암시합니다. 데이터 보내어되고 및 백.

클라이언트 측의 포트 번호를 미리 알 수 없기 때문에이를 처리하는 일반적인 방법 은 확립 된 연결 과 "확립 된"또는 "관련된" 것으로 간주되는 연결을 허용하는 것입니다 . 이를 위해서는 다음이 필요합니다.

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

DROP규칙 전에 (그리고 규칙이 순서대로 처리되고이 두 규칙이 대부분의 패킷에 적용되므로) 맨 위가 바람직합니다.

여기에 TCP 연결이 어떻게 설정되는지에 대한 설명이 있습니다 . 본질적으로 서버가 #SSH INPUT규칙에 의해 허용 된 패킷에 응답한다는 사실이 그렇게합니다.