ルールリストに「-A INPUT -j DROP」を追加すると、IPTABLESが遅くなる

私はiptablesを使い始めたばかりで、よくわからないものに出会いました。

ちなみに、私はUbuntu wikiのIptablesHowToの指示に従いました。

natテーブルとmangleテーブルは空です。現在、フィルターテーブルのみを使用しています。

問題

次のiptablesルールを追加すると、

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -j DROP

...その後も引き続きssh経由で自分のマシンにアクセスできますが、すべてのiptablesコマンドの実行には1〜2分かかります。これはDNSの問題で-nはなく、変更されません。

ソリューション

テーブルをフラッシュし、代わりにこれらの3つのルールを追加すると、すべてが正常に機能します。

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -j DROP

誰かが私に説明できますか、なぜ最初のルールがiptablesにそれほど大きな影響を与えるのですか？確立されたセッションがトラフィックを受信できることを理解していますが、sshが開いている場合になぜそれが必要なのですか？

DNSルックアップを実行しており、応答がブロックされているため、タイムアウトするまでに時間がかかります。

DNSルックアップを防ぐためにiptables -n ...を実行してみてください。

conntrackは、マシンによって開始された要求（この場合はDNS要求）への応答用に作成された一時ポートで接続を受信できるようにします。ESTABLISHEDまたはRELATED接続を許可しないと、リクエストへの応答もブロックされます。

EG：Webサイトにアクセスしようとすると、Webサイトのリクエストを送信できても、Webサイトの応答がブロックされます。

と

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -j DROP

SSHポートからのものでない限り、マシンは各着信パケットをドロップします。そのマシンがSSH経由でのみ通信するようにする場合は、良い考えです。それ以外の場合は追加する必要があります

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

これにより、誰かから接続するのではなく、何らかのWebサーバーに接続することが確実になります。