RE: Problema abriendo NAT de iptables para SSH
> El mié, 27-07-2011 a las 17:32 +0100, Gorka Expósito escribió:
>
> > # Rechazamos paquetes de forwarding de conexiones no establecidas
> >
> > #iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP
> >
> >
> >
> > Si descomento la última línea funciona, si no lo hago no funciona.
> >
> > ¿Qué tengo mal? Creo que la última línea aporta seguridad. ¿Cómo puedo
> > conseguir lo que busco sin perder seguridad?
>
> No controlo mucho iptables pero voy a intentar explicar donde creo yo que
> está el fallo. Parece claro que la última linea hace match con la conexión SSH
> entrante, de tal modo que habría que hacer una excepción para el puerto 22.
>
> No sé si voy a escribir una burrada y tampoco he probado si la linea funciona,
> pero imagino algo así:
>
> iptables -A FORWARD -m state --state NEW,INVALID -i eth0 ! -dport 22 -j
> DROP
>
Gracias Francesc por contestar. Efectivamente, si añado la siguiente línea funciona:
iptables -A FORWARD -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT
Pero entonces, la regla INPUT que hace lo mismo, ¿no vale para nada?, ¿por qué las conexiones SSH desde el exterior entran por FORWARD en lugar de por INPUT?, ¿es porque hay un DNAT para ellas?
Reply to: