Discussion :

[evguen]

Bonjour,

Je suis en train de configurer un parefeu avec iptable sous Debian Etch.
J'ai sur mon serveur (nommons-le server1) un Oracle qui tourne sur le port 9090. J'ai ma machine de dev, nommons-la machine1

Je ne souhaite pas que ce port soit accessible de l'extérieur, mais je souhaite toutefois pouvoir y accéder avec un tunnel ssh.

Lorsque mon iptable est vidé, je fais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$> ssh mylogin@server1 -L 8080:localhost:9090

Et j'arrive à m'authentifier sur ma base Oracle distante en tentant une connexion sur le port 8080 à partir de ma machine1.

Lorsque j'exécute mon script iptable, je ne peux plus y accéder de cette manière. Sur mon shell (là où j'ai lancé le tunnel) j'ai un message d'erreur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
channel 2: open failed: connect failed: Connection refused

Je pense bien que le problème vient de ma conf iptable, mais je débute sur le sujet, et je ne sais pas trop comment m'y prendre.
Je vous remercie d'avance pour toutes vos pistes d'investigation.

Bien à vous

[hpalpha]

Re,

grosso modo,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
# d'abord on interdit tout
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
 
# eventuelement, on bloque la sortie
iptables -t filter -P OUTPUT ACCEPT
 
# on vide les tables
iptables -t filter -F
iptables -t filter -X
 
# on casse pas les connexions deja existantes
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
 
# on autorise le loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
 
# on autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

voila le ssh devrait passer.
ensuite, le tunneling, il devrait pas y avoir de pb, pas besoin de rajouter des regles.

[DjinnS]

Salut, tu devrais poster tes rêgles iptables, mais à mon avis tu as du faire un truc sur lo.

La solution fournie par hpalpha permettra de résoudre ton problème.

Par contre, je me permettrais de reformer le fichier, si on le traite comme un script, par exemple, filter.sh:

# on vide les tables
iptables -t filter -F
iptables -t filter -X

# on casse pas les connexions deja existantes
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# on autorise le loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# on autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

# eventuelement, on bloque la sortie
iptables -t filter -P OUTPUT ACCEPT

# d'abord on interdit tout
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP

Et /etc/init.d/iptables save active est bien pratique, a installer toutefois.

[evguen]

Salut hpalpha et DjinnS,

Après quelques tests sur la conf que vous m'avez proposé, il semble bien que l'absence de règle de type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
# on autorise le loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

m'interdisait de créer mon tunnel ssh.

Un grand merci pour votre contribution ! Problème résolu