Как отключить iptables???

[minipooh]

Поставили 2 новых компа, установили на них Kubuntu 9.04, настроили ssh, sftp поднимается все нормально, но когда начали отлаживать git push обнаружили проблему:

Код: [Выделить]

Tunnel device open failed.
Could not request tunnel forwarding.
Решили проверить еще раз ssh выяснилось что ssh не может поднять тоннель между серваком и клиентом.

Код: [Выделить]

channel 0: open failed: administratively prohibited: open failed

Маны по настройке ssh прочитал настроил как положено (вроде бы) но тоннель все равно не создается. Решили для проверки поднять порт на серваке с помощью nc и послушать его. Порт создался, но доступа с удаленной машины на него нет.

Код: [Выделить]

(UNKNOWN) [xxx.xxx.xxx.xxx] 13000 (?) : Connection refused
Попробовали открыть порты на других машинах, естественно все нормально мы (сервак и клиент) их видим они нас слышат. Но нас никто не видит.

В связи с чем вопросы:

Как решить проблемму "видимости"?
Как настроить правильно iptables?
Можно ли вообще отключить iptables?

HELP please!!!

[terrible_user]

Я думаю будет полезным приложить в тему твои текущие настройки iptables

Код: [Выделить]

iptables -L

[minipooh]

На клиенте и на серваке одинаковый результат команды:

Код: [Выделить]

sudo iptables -L

Код: [Выделить]

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[hinotf]

Может, достаточно поставить какой-нибудь графический интерфейс к iptables, напрмер Firestarer и почитать его руководство?

[Tokh]

Это не отключит iptables.

Судя по опубликованному iptables -L выводу, iptables пассивны и трафик не фильтруют. Можно считать их выключенными.

[terrible_user]

Да iptables'ы вообще судя по всему тут непричем, либо их наоборот надо не удалять а настраивать

Вот насчет ssh'a напиши подробнее что как и куда  ты делаешь подключаешья

[minipooh]

ssh запускаю так:

Код: [Выделить]

sudo ssh -2 -L 2000:localhost:2000 Alexandr@ххх.ххх.ххх.ххх
вместо localhost пробовал и имя клиентской машины и ip-шник без разницы.
так же пробовал так:

Код: [Выделить]

sudo ssh Alexandr@ххх.ххх.ххх.ххх -w any:any
В последнем случае туннель не создается но управление удаленным компьютером я получаю.

[AnrDaemon]

Сам то понимаешь, чего пишешь?

Код: [Выделить]

sudo ssh -2 -L 2000:localhost:2000 Alexandr@ххх.ххх.ххх.ххх
Открыть на локальной машине порт 2000 и приконнектить его к нему самому. Слегка... ммм... СТРАННОЕ указание.

ssh -L localport:remotehost2:remoteport -- username@remotehost1

[minipooh]

А кто еще может обрубать тонель??
Пользователь решил продолжить мысль 11 Августа 2009, 18:02:11:ну насколько я понял из описания ssh командой

Код: [Выделить]

sudo ssh -2 -L 2000:localhost:2000 Alexandr@ххх.ххх.ххх.ххх
я открываю 2000 порт на своей машине и подсоединяю его к 2000 порту на машине Alexandr@ххх.ххх.ххх.ххх?

Тогда какие нужно указывать порты??? Нужно предварительно на серваке открывать предварительно какой-то порт???

[AnrDaemon]

Тогда уже
ssh -2 -L 2000:ххх.ххх.ххх.ххх:2000 Alexandr@ххх.ххх.ххх.ххх

И вообще напуркуа судо для ssh, ты где?

[minipooh]

да судо то фиг с ним, что с ним что без него результат одинаковый.

Вместо localhost указать свой ip-шник тоже пробовал

Все одно и то же.....
Пользователь решил продолжить мысль 11 Августа 2009, 18:13:24:меня сейчас мучает вопрос почему порт окрытый с помощью nc с других компов не виден??? А мы порты на других машинах видим и нормально к ним конетктимся......

[AnrDaemon]

По умолчанию ssh биндит порты на localhost.
Т.е. получется
Ты -> localport:localhost -> ssh client -> ssh server -> remotehost2:remoteport

[minipooh]

результат работы команды

Код: [Выделить]

iptables-save:

Код: [Выделить]

# Generated by iptables-save v1.4.1.1 on Wed Aug 12 11:41:38 2009
*nat                                                             
:PREROUTING ACCEPT [44036:13479604]                             
:POSTROUTING ACCEPT [5440:283611]                               
:OUTPUT ACCEPT [5440:283611]
COMMIT
# Completed on Wed Aug 12 11:41:38 2009
# Generated by iptables-save v1.4.1.1 on Wed Aug 12 11:41:38 2009
*mangle
:PREROUTING ACCEPT [80197:21993080]
:INPUT ACCEPT [36740:8607888]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [30220:4485658]
:POSTROUTING ACCEPT [30240:4486833]
COMMIT
# Completed on Wed Aug 12 11:41:38 2009
# Generated by iptables-save v1.4.1.1 on Wed Aug 12 11:41:38 2009
*filter
:INPUT ACCEPT [36740:8607888]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [30220:4485658]
COMMIT
Диапазон портов которые указаны в скобках, это те которые пропускаются или те которые iptables закрывает??? Устройте мне кто-нибудь ликбез по этому описанию?

[AnrDaemon]

А с чего ты взял, что это диапазон портов, вообще?
У тебя ipt прозрачная, как детская слезинка.

[Silver Ghost]

хм... а простой вариант, что провайдер фильтрует порты никто не рассматривает?