iptables

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
helfried
Beiträge: 55
Registriert: 01.01.2011 17:47:43

iptables

Beitrag von helfried » 01.01.2011 17:58:34

Hallo!
Ich habe eine Frage.
Ich will mit iptables dem Benutzer "borg" fast alle Netzwerkverbindungen sperren. Er soll nur Zugang zum Drucker (192.168.101.215) und zu einem ssh-server (192.168.101.206) haben. Das mit dem Drucker funktioniert, das mit dem ssh-server leider nicht. Kann jemand helfen?

squeeze kernel 2.6.32-5-amd64

Code: Alles auswählen

ACCEPT     all  --  192.168.101.215      anywhere            owner UID match borg 
ACCEPT     all  --  192.168.101.206      anywhere            owner UID match borg 
ACCEPT     all  --  localhost            anywhere            owner UID match borg 
DROP       udp  --  anywhere             anywhere            owner UID match borg 
DROP       tcp  --  anywhere             anywhere            owner UID match borg 
DROP       icmp --  anywhere             anywhere            owner UID match borg
Nach oben
Benutzeravatar
Six
Beiträge: 8071
Registriert: 21.12.2001 13:39:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Siegburg

Re: iptables

Beitrag von Six » 04.01.2011 08:19:08

Hallo und willkommen im df.de!
helfried hat geschrieben:Hallo!
Ich habe eine Frage.
Ich will mit iptables dem Benutzer "borg" fast alle Netzwerkverbindungen sperren. Er soll nur Zugang zum Drucker (192.168.101.215) und zu einem ssh-server (192.168.101.206) haben. Das mit dem Drucker funktioniert, das mit dem ssh-server leider nicht. Kann jemand helfen?

squeeze kernel 2.6.32-5-amd64

Code: Alles auswählen

ACCEPT     all  --  192.168.101.215      anywhere            owner UID match borg 
ACCEPT     all  --  192.168.101.206      anywhere            owner UID match borg 
ACCEPT     all  --  localhost            anywhere            owner UID match borg 
DROP       udp  --  anywhere             anywhere            owner UID match borg 
DROP       tcp  --  anywhere             anywhere            owner UID match borg 
DROP       icmp --  anywhere             anywhere            owner UID match borg
Wenn nur x.y.z.206 erreichbar sein soll, dann muss man auch das Ziel einschränken. Weiterhin kann man auch die Programme kontrollieren, die rausfunken dürfen. Allerdings ist das leicht zu unterwandern und es gibt Probleme auf Multi-Prozessorsystemen (heute also fast immer :/) So ungefähr:

Code: Alles auswählen

iptables -A OUTPUT -d x.y.z.206 -m owner --uid-owner <uid of borg> --cmd-owner <ssh> -j ACCEPT
iptables -A OUTPUT -d x.y.z.215 -m owner --uid-owner <uid of user> -j ACCEPT
iptables -A OUTPUT -j REJECT
Be seeing you!
Nach oben
helfried
Beiträge: 55
Registriert: 01.01.2011 17:47:43

Re: iptables

Beitrag von helfried » 05.01.2011 23:41:19

Hallo, herzlichen Dank!
iptables scheint die Option --cmd-owner nicht zu kennen, zumindest liefert "man iptables" kein Ergebnis.
Es funktioniert jetzt aber. Mein Fehler war anscheinend, dass ich die Option -s statt -d verwendet habe.
Nach oben
Benutzeravatar
Six
Beiträge: 8071
Registriert: 21.12.2001 13:39:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Siegburg

Re: iptables

Beitrag von Six » 06.01.2011 08:56:25

helfried hat geschrieben:Hallo, herzlichen Dank!
iptables scheint die Option --cmd-owner nicht zu kennen, zumindest liefert "man iptables" kein Ergebnis.
Tatsächlich. Auf Sarge gabs das noch ;) Ist aber auch besser so, cmd-owner funktioniert im SMP Systemen nicht richtig, es führt zu lustigem und völlig unberechenbarem Verhalten.
Be seeing you!
Nach oben
Antworten

Zurück zu „Netzwerk“