Iptables: ouvrir un trafic entre deux serveurs via un port

Support Debian
#1

Bonjour,
J’ai des notions d’iptables pour ouvrir un port, sauf que, sur une debian wheezy, je sais plus comment relancer iptables pour prendre en compte les nouveaux changements. Je n’ai pas de services iptables, les deux serveurs sont dans un réseau entreprise donc, je n’ai rien a faire au niveau du firewall.
iptables -L me renvoi bien les changements effectués, ( je souhaite en effet ouvrir un trafic entre deux serveurs via le port 7010, pour faire tourner nc).
mais quand je fais
telnet localhost 7010
ou
telnet leserveurdistant 7010
aucune connexion possible, ports toujours fermes.
De l’aide serais la bienvenue
Merci

#2
  1. Iptables n’est pas un service.
  2. Iptables n’ouvre pas des ports. Il accepte, bloque, rejette ou modifie des paquets IP.
  3. Si rien n’écoute sur un port, il est fermé et iptables n’y changera rien.

Qu’est-ce qui écoute sur le port 7010 ? A vérifier avec [mono]netstat -ntl[/mono].
Quelles sont les règles iptables en place affichées par [mono]iptables-save[/mono] ?

#3

Merci pour la réponse.
Je vous envoi ces informations demain matin au bureau.
Merci et bon dimanche

#4

Bonjour,

J’ai deux serveurs, voila la conf du 1er:

sudo /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp – anywhere anywhere multiport dports 4222
ACCEPT tcp – anywhere anywhere tcp dpt:7010
ACCEPT tcp – anywhere anywhere tcp spt:7010

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:7010

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all – anywhere anywhere

sudo /sbin/iptables-save

Generated by iptables-save v1.4.14 on Mon Dec 21 09:18:46 2015

*filter
:INPUT ACCEPT [50552750:153649452930]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [36561695:511737872174]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 4222 -j fail2ban-ssh
-A INPUT -i eth0 -p tcp -m tcp --dport 7010 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 7010 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 7010 -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT

Completed on Mon Dec 21 09:18:46 2015

==============================
et celle du 2eme

sudo /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp – anywhere anywhere multiport dports 4222
ACCEPT tcp – anywhere anywhere tcp spt:7010
ACCEPT tcp – anywhere anywhere tcp dpt:7010

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all – anywhere anywhere

sudo /sbin/iptables-save

Generated by iptables-save v1.4.14 on Mon Dec 21 09:19:47 2015

*filter
:INPUT ACCEPT [6100707:453703960]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4181390:9091843036]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 4222 -j fail2ban-ssh
-A INPUT -i eth0 -p tcp -m tcp --sport 7010 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 7010 -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT

Completed on Mon Dec 21 09:19:47 2015

Merci pour l’aide

#5

Ces règles ne bloquent rien. Il y a du ACCEPT partout. Le problème ne vient pas d’iptables.
Quel est le service qui est censé écouter sur le port 7010 ? Comment est-il lancé ?

Notes :

  • La sortie d’[mono]iptables -L[/mono] est incomplète et redondante avec celle d’[mono]iptables-save[/mono].
  • Pour une meilleur lisibilité, il est recommandé de mettre les sorties de commandes, fichiers de configuration et autres élément en texte brut entre balises “Code”. Exemple :
#6

OK
merci pour les conseils
on refais au propre
SERVEUR1

[code]sudo /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp – anywhere anywhere multiport dports 4222
ACCEPT tcp – anywhere anywhere tcp dpt:7010
ACCEPT tcp – anywhere anywhere tcp spt:7010

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:7010

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all – anywhere anywhere[/code]

[code]sudo /sbin/iptables-save

Generated by iptables-save v1.4.14 on Mon Dec 21 09:18:46 2015

*filter
:INPUT ACCEPT [50552750:153649452930]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [36561695:511737872174]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 4222 -j fail2ban-ssh
-A INPUT -i eth0 -p tcp -m tcp --dport 7010 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 7010 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 7010 -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT

Completed on Mon Dec 21 09:18:46 2015[/code]

SERVEUR2

sudo /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport dports 4222
ACCEPT tcp -- anywhere anywhere tcp spt:7010
ACCEPT tcp -- anywhere anywhere tcp dpt:7010

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
sudo /sbin/iptables-save
# Generated by iptables-save v1.4.14 on Mon Dec 21 09:19:47 2015
*filter
:INPUT ACCEPT [6100707:453703960]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4181390:9091843036]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 4222 -j fail2ban-ssh
-A INPUT -i eth0 -p tcp -m tcp --sport 7010 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 7010 -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Mon Dec 21 09:19:47 2015
#7

C’est une demande du metier, je n’ai aps tres bien saisi franchement.
C’est du shell nc

[code]PUBLISHER_PORT=“7010”

PKG_UID=${SOCA_BUILD_UID}
PKG_NASPATH=“nasdev/prse/${SOCA_BUILD_UID}”

PKG_TAR="${BUILD_TAG}/${SOCA_BUILD_UID}.tar"
PKG_TAR_SIZE=$(stat --format ‘%s’ “${PKG_TAR}”)
(
echo "uid:${PKG_UID}"
echo "naspath:${PKG_NASPATH}"
echo "size:${PKG_TAR_SIZE}"
echo ""
cat “${PKG_TAR}”
) | nc ${PUBLISHER_ADDR} ${PUBLISHER_PORT}
[/code]

#8

Bon tout est clair maintenant;
c’est du netcat
sur le serveur 1 netcat est lancé, mais sur le serveur destinataire, serveur2, rien n’est lancé pour écouter sur le port 7010.
c’est une confusion de ma part aussi, je dois faire la part des choses.
Iptables permet d’accepter ou de refuser uniquement.
Et il faut lancer un process ou une appli pour vérifier si le trafic passe par le port ou non.
N’est ce pas ?
Merci pour ton aide

#9

Euh… je ne suis pas sûr de comprendre ce que tu veux dire.

#10

Désolé j’ai rédigé au bureau je me suis précipité.
La personne se demande pourquoi il n’y a pas de trafic sur le port 7010 entre les deux serveurs ?
Alors que, il lançait le netcat sur le serveur source, mais rien n’est lancé sur le destinataire, rien n’essaye de trafiquer via ce port.
Donc, forcement, si on fait un netstat -na | grep 7010 ou lsof | grep LISTER | grep 7010, on ne verras rien.
Si c’est pas clair, je serais obligé de le faire par téléphone :laughing: