RE: Problema abriendo NAT de iptables para SSH
> > Gracias Francesc por contestar. Efectivamente, si añado la siguiente línea
> funciona:
> >
> > iptables -A FORWARD -i eth0 -p TCP --dport 22 -m state --state NEW -j
> ACCEPT
> >
> > Pero entonces, la regla INPUT que hace lo mismo, ¿no vale para nada?,
> ¿por qué las conexiones SSH desde el exterior entran por FORWARD en lugar
> de por INPUT?, ¿es porque hay un DNAT para ellas?
> >
>
> Como te decía anteriormente no domino mucho iptables, así que te ruego
> que cojas mis opiniones con pinzas y las contrastes con pruebas. De la
> misma manera os pido que me corrijáis si escribo cualquier sandez. Yo
> interpreto:
>
> 1. La regla INPUT abre el puerto 22 para conexiones entrantes y basta.
> Sería el caso si el servidor SSH estuviera en el mismo firewall, es
> decir, si la petición no se reenviaría hacia 10.0.0.46. Por curiosidad,
> ahora que te funciona ¿has probado a comentarla para ver si afecta en tu
> escenario?. Quizá con la última regla que has añadido ya no es
> necesaria.
>
> 2. Como bien dices, creo que las conexiones SSH del exterior entran por
> FORWARD porqué existe la regla DNAT (que solo sirve para explicar como
> tiene que ser la nueva conexión, ni la acepta ni la deniega, eso lo hace
> la regla FORWARD con el ACCEPT o el DROP).
>
Te has explicado fenomenalmente. Ahora entiendo algunas cosas más del funcionamiento de iptables que no me quedaban claras.
Tras quitar la regla INPUT todo funciona igual de bien, luego no es necesaria (en mi caso). Parece ser que cuando hay un DNAT se controla con el FORWARD como tú muy bien dices.
Muchas gracias, Francesc.
Un saludo.
Reply to: