ssh 守護程序將使用哪些埠出站？

我正在製作堡壘 ssh 伺服器。當我在其 ip 表中使用以下規則時，我能夠很好地連接到伺服器：

入境規則

• 允許來自我客戶端 IP 的埠 22 上的流量
• 阻止所有其他流量

出站規則

• 允許所有流量到我客戶的 IP
• 阻止所有其他流量

我的理解是伺服器在有效客戶端呼叫時隨機選擇一個出站埠完成ssh連接。

1. 系統選擇什麼範圍的整數來選擇這個埠？
2. 我可以告訴我的系統使用哪個埠範圍嗎？

你的理解是錯誤的:-)。客戶端將選擇一個“tcp-high 埠”來向伺服器的目標埠 22 發起流量。伺服器將響應客戶端發起的源埠。

例如，客戶端選擇埠 12345 作為源埠以連接到伺服器的目標埠 22。伺服器將嘗試將流量從其埠 22 發送到埠 12345 上的客戶端。

tcp-high 埠範圍是 > 1024 到 65535。

因此，您應該允許 RELATED 和 ESTABLISHED 流量到您的客戶端。例如：

IPTABLES -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

確保上述規則出現在“阻止所有其他”規則之前。

引用自：https://unix.stackexchange.com/questions/206993