4 votes

Ryan Mills avatar

iptables bloque le tunnel ssh

Demandé el 7 de Octobre, 2011
Quand la question a-t-elle été
1608 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Serveur : Serveur Ubuntu 10.04 LTS

J'ai verrouillé mes iptables pour que seul le trafic ssh et http soit autorisé. J'essaie de tunneliser un exemple sql : ssh -L 3306:127.0.0.1:3306 my@domain.com cela fonctionne bien si je règle mon INPUT sur ALLOW mais comme vous pouvez le voir ci-dessous, il est réglé sur drop donc mes ports sont bloqués. Je suppose qu'il s'agit d'une règle que je dois ajouter, mais tout ce que j'ai trouvé sur Google n'a pas fonctionné. Des idées ?

iptables.up.rules

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [57:4388]
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
COMMIT

sortie du terminal

xxx@xxx:/etc# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     icmp --  anywhere             anywhere            icmp any

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Demandé el 7 de Octobre, 2011 par Ryan Mills

Réponse

Trop de publicités?

5voto

Priyan R avatar
Priyan R Points 687

Vous devez autoriser l'arrivée de paquets via le loopback :

-A INPUT -i lo -j ACCEPT

Vous pouvez renforcer quelque peu la règle en vous assurant que les paquets arrivant via loopback ont également l'adresse loopback :

-A INPUT -d 127.0.0.1/32 -i lo -j ACCEPT
Répondu el 7 de Octobre, 2011 par Priyan R (687 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X