Какого правила не хватает в iptables?

Question

[vakohafa]

Установил SSH тунель

ssh -D 9999 root@111.111.111.111 -N

По идее теперь можно подключаться по SOCKS5 к 127.0.0.1:9999

В файрфоксе прописываю 127.0.0.1:9999 и ничего не работает, но если прописать localhost:9999 то почемуто работает.

Установил ProxyChains-NG, вообще не работает, хотя конфиги верные, запихнул все в чистую виртуалку, все работает.

Сделал вывод что дело в iptables.
Где конкретно, так и не разобрался.

Вот что в iptables

# Generated by iptables-save v1.4.7 on Sat Apr 25 00:54:56 2017
*nat
:PREROUTING ACCEPT [33:8870]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [3:184]
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Sat Apr 25 00:54:56 2017
# Generated by iptables-save v1.4.7 on Sat Apr 25 00:54:56 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -s 111.222.333.444/32 -p udp -m udp --sport 1194 -m state --state RELATED,E$
-A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -d 111.222.333.444/32 -o eth0 -p udp -m udp --dport 1194 -j ACCEPT
-A OUTPUT -d 111.222.333.444/32 -o wlan0 -p udp -m udp --dport 1194 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat Apr 25 00:54:56 2017

Чего не хватает в правилах?

SSH тунель идет внутри VPN, iptables настроен на блокировку всего трафика кроме впновского.

Comments

[krosh]

Покажите вывод:

ip a
ip r s
netstat -antp |grep 9999
nslookup localhost
ping -c2 localhost

Answer 1

[Daemon23RUS]

SSH тунель идет внутри VPN, iptables настроен на блокировку всего трафика кроме впновского.

127.0.0.1:9999 - это по вашему к какому относится ? ко всему или к впн ?

Comments

[vakohafa]

Daemon23RUS не понял вопроса

Answer 2

[Денис Сечин]

Iptables -L -v -t nat

Answer 3

[Host-Eiweb]

Открываете Yandex и в поисковой строке вбиваете 127.0.0.1 что это за адрес
Ответ получите сразу.
Неужели так трудно это сделать.

Answer 4

[younghacker]

Если находит по имени но не находит по адресу значит дело в том что адрес и имя ресолвятся не туда или используется другой протокол. Я бы посмотрел что там с IPv4 и IPv6.
Для вашего случая туннель я бы поднял несколько иначе:

ssh -4 -L 9999:127.0.0.1:9999 -N root@111.111.111.111

Утилита tcpdump поможет узнать больше о сетевом трафике с вашей стороны и со стороны сервера. Для Windows есть wireshark и wincap.

Что касается iptables - то он содержит правила которые никогда не сработают.

-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -d 111.222.333.444/32 -o eth0 -p udp -m udp --dport 1194 -j ACCEPT

Первое сработает, второе никогда. Одно из этих правил лишнее. Скорее второе.
Потому что если убрать первое то ssh будет заблокирован в eth0 либо должен будет бежать через tun.

В выходных цепочках у вас определён интерфейс wlan0

-A OUTPUT -d 111.222.333.444/32 -o wlan0 -p udp -m udp --dport 1194 -j ACCEPT

А во входных про него забыли.
Хотя непонятно чей это iptables. :) Клиента или сервера?