着信SSH接続を許可するIPTablesルール

このスクリプトの目的は、localhost <-> localhostおよび着信SSHトラフィックを除いて、VPN経由のトラフィックのみを許可することです。しかし、SSH経由でスクリプトを実行すると、接続が切断され、vmを再起動する必要があります。スクリプトの何が問題になっていますか？

#!/bin/bash
iptables -F

#Allow over VPN
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT

#Localhost
iptables -A INPUT -s 127.0.0.1/8 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1/8 -j ACCEPT

#VPN
iptables -A INPUT -s 123.123.123.123 -j ACCEPT
iptables -A OUTPUT -d 123.123.123.123 -j ACCEPT

#SSH
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#Default Deny
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP

出力チェーンは、発信されるすべてのパケットに対して責任があります。

このスクリプトでは、送信パケットがトンネルインターフェイス、ローカルホスト、およびリモートホスト123.123.123.123にのみ許可されます。

SSHデーモンが上記以外の宛先にパケットを送信する必要がある方法でサーバーに接続している場合、トラフィックの送信は許可されません。

SSHデーモンからSSHクライアントへの送信パケットを許可するには、次のルールを追加する必要があります。

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

1つの場所からのみ接続する場合は、上記のルールに宛先IP基準を追加することもできます。このルールは、出力チェーンの最終的な「その他をすべて削除する」ルールの前に置く必要があります。

あなたの#SSH規則は、sshが一方向の通信形式であることを意味しますが、そうではありません。データが遣わしされているとバック。

これを処理する通常の方法は、クライアント側のポート番号を事前に知ることができないため、確立された接続に「確立」または「関連」されていると見なされる接続を許可することです。これを行うには、次のものが必要です。

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

DROPルールの前（ルールが順番に処理され、これら2つがほとんどのパケットに適用されるため、できれば上部）。

ここでは、TCP接続がどのように確立されるかについての説明があります。基本的に、サーバーが#SSH INPUTルールによって許可されたパケットに応答するという事実は、そのようにします。