Tunneling SSH avec iptable

Bonjour,

Je suis en train de configurer un parefeu avec iptable sous Debian Etch.
J'ai sur mon serveur (nommons-le server1) un Oracle qui tourne sur le port 9090. J'ai ma machine de dev, nommons-la machine1

Je ne souhaite pas que ce port soit accessible de l'extérieur, mais je souhaite toutefois pouvoir y accéder avec un tunnel ssh.

Lorsque mon iptable est vidé, je fais :

Code:

---

$> ssh mylogin@server1 -L 8080:localhost:9090

---

Et j'arrive à m'authentifier sur ma base Oracle distante en tentant une connexion sur le port 8080 à partir de ma machine1.

Lorsque j'exécute mon script iptable, je ne peux plus y accéder de cette manière. Sur mon shell (là où j'ai lancé le tunnel) j'ai un message d'erreur :

Code:

---

1 2	channel 2: open failed: connect failed: Connection refused

---

Je pense bien que le problème vient de ma conf iptable, mais je débute sur le sujet, et je ne sais pas trop comment m'y prendre.
Je vous remercie d'avance pour toutes vos pistes d'investigation.

Bien à vous

Re,

grosso modo,

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

# d'abord on interdit tout iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP   # eventuelement, on bloque la sortie iptables -t filter -P OUTPUT ACCEPT   # on vide les tables iptables -t filter -F iptables -t filter -X   # on casse pas les connexions deja existantes iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT     # on autorise le loopback iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A OUTPUT -o lo -j ACCEPT   # on autoriser SSH iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

---

voila le ssh devrait passer.
ensuite, le tunneling, il devrait pas y avoir de pb, pas besoin de rajouter des regles.

Salut, tu devrais poster tes rêgles iptables, mais à mon avis tu as du faire un truc sur lo.

La solution fournie par hpalpha permettra de résoudre ton problème.

Par contre, je me permettrais de reformer le fichier, si on le traite comme un script, par exemple, filter.sh:

Citation:

---

# on vide les tables
iptables -t filter -F
iptables -t filter -X

# on casse pas les connexions deja existantes
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# on autorise le loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# on autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

# eventuelement, on bloque la sortie
iptables -t filter -P OUTPUT ACCEPT

# d'abord on interdit tout
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP

---

Et /etc/init.d/iptables save active est bien pratique, a installer toutefois.

Salut hpalpha et DjinnS,

Après quelques tests sur la conf que vous m'avez proposé, il semble bien que l'absence de règle de type :

Code:

---

1 2 3 4

# on autorise le loopback iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A OUTPUT -o lo -j ACCEPT

---

m'interdisait de créer mon tunnel ssh.

Un grand merci pour votre contribution ! Problème résolu