Uma dúvida no INPUT, ele não esta deixando eu conectar SSH.

Estou motando um firewall novo, e eu sempre começo com essas regras:

iptables -P INPUT DROP
iptables- P FORWARD DROP
iptables -P OUTPUT DROP

ou seja, fechar tudo e depois começa a liberar.

Porém, um coisa esta acontecendo, a regra iptables -P INPUT DROP esta bloqueando o acesso ao SSH na própria rede interna. Eu já fiz o teste e se eu liberar essa regra, o SSH funciona.
Estou achando estranho, pois o INPUT não seria apenas para o que entra no firewall? Que no meu caso não estou conectando de fora, mas sim pela própria rede interna.
Eu será que estou enganado?
Alguem tem uma dica?
:help:

Olá, deixa o iptables -P OUTPUT ACCEPT ao invés do iptables -P OUTPUT DROP

e tbm abra a porta 22

iptables -A INPUT --dport 22 -j ACCEPT

e posta ai...

té +++

Não entendo 100% de iptables mas o INPUT é o que entra de fora para dentro, não interessa se é da sua rede interna ou da internet. É o que pela placa ethx para dentro do servidor.

Já o OUTPUT é o que sai do seu servidor (quando falo servidor quero dizer seu sistema Linux) para fora (rede interna, internet) pela placa ethX (qualquer uma das placas).

Então quando você coloca a regra iptables -P INPUT DROP você está bloqueando todo trafego de entrada independente da rede ou da placa.

Sendo assim você vai ter que liberar o INPUT na porta 22 da sua rede interna.

Bom é isso que eu entendi até agora. Se estiver errado peço que me corrijam.

Acabo de verificar e na verdade a regra que estava inpedindo era a OUTPUT DROP mesmo e nao a INPUT.
deixei ACCEPT. Ta funfando.

Citação:

---

Postado originalmente por nod3vic3

Então quando você coloca a regra iptables -P INPUT DROP você está bloqueando todo trafego de entrada independente da rede ou da placa

---

Entao na verdade eu preciso deixa a INPUT DROP para evitar qualquer tentativa de fora. Mas isso vai bloquear tudo que vem da rede interna tb? Eu vou precisar liberar as portas da rede interna? Se for isso, tem jeito de dizer para INPUT que ta tudo liberado na rede interna?

Cara como falei não entendo 100% de iptables, entendo mais de teoria na realidade. Então claro que tem uma forma de liberar tudo que vem da sua rede interna pro servidor.

Você tem que criar regras de ACCEPT para as requisições que vem da sua interface de rede interna. Só que infelizmente não sei como faz.

Faixa de ips da rede interna: 192.168.1.x

liberar acesso da rede interna ao computador:

Código :

---

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

---

Estou aceitando tudo que vem da rede interna para o servidor, seja tcp ou udp, seja em qualquer porta.

Mais informações:
http://focalinux.cipsga.org.br/

SFTW