IPTables规则允许传入的SSH连接

该脚本的目的是仅允许通过VPN的流量，但localhost <-> localhost和传入的SSH流量除外。但是，当我通过SSH运行脚本时，我已断开连接并被迫重新启动vm。我的脚本有什么问题？

#!/bin/bash
iptables -F

#Allow over VPN
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT

#Localhost
iptables -A INPUT -s 127.0.0.1/8 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1/8 -j ACCEPT

#VPN
iptables -A INPUT -s 123.123.123.123 -j ACCEPT
iptables -A OUTPUT -d 123.123.123.123 -j ACCEPT

#SSH
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#Default Deny
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP

输出链负责任何发送出去的数据包。

您的脚本仅允许出站数据包到位于123.123.123.123的隧道接口，本地主机和远程主机。

如果以要求SSH守护程序将数据包发送到除上述方法之一以外的目标的方式连接到服务器，将不允许流量流出。

要允许从SSH守护程序到SSH客户端的出站数据包，您需要添加以下规则：

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

如果仅从单个位置进行连接，则可能还需要将目标IP条件添加到上述规则中。对于输出链，此规则必须先于最终的“ DROP anyother”规则。

您的#SSH规则意味着ssh是一种单向通信形式，不是。数据正在发送和返回。

由于您事先无法知道客户端的端口号，因此处理此问题的正常方法是允许被认为与已建立连接“已建立”或“相关”的连接。为此，您需要：

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

在您的DROP规则之前（最好是在顶部，因为规则是按顺序处理的，并且这两个规则将适用于大多数数据包）。

还有如何建立TCP连接开始建立的解释在这里 ; 从本质上讲，服务器对您的#SSH INPUT规则所允许的数据包进行了回复。