Hallo zusammen!
Nach etlichen Stunden vergeblichen Bemuehens versuche ich es nun hier.
Auf einem Linux-PC möchte ich einen User vom Netzwerk aussperren.
Vorzugsweise nur von eth0.
Leider kenne ich mich mit iptables nicht wirklich aus...
System:
Fedora 12 -- 2.6.32.9-70.fc12.x86_64 #1 SMP Wed Mar 3 04:40:41 UTC 2010 x86_64 x86_64 x86_64 GNU/Linux)
Hier die Holzhammermethode:
Bei Null beginnen...
[root@pc1 ~]# /etc/init.d/iptables stop
[root@pc1 ~]# iptables-save
# Generated by iptables-save v1.4.5 on Sat Mar 13 18:26:12 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Sat Mar 13 18:26:12 2010
Und nun...
[root@pc1 ~]# iptables -A OUTPUT -m owner --uid-owner stefan -j REJECT
[root@pc1 ~]# iptables-save
# Generated by iptables-save v1.4.5 on Sat Mar 13 18:28:03 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A OUTPUT -m owner --uid-owner stefan -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sat Mar 13 18:28:03 2010
Nun der Test als User Stefan:
[stefan@pc1 ~]$ ping www.gmx.de
ping: unknown host www.gmx.de
[stefan@pc1 ~]$ ping 217.72.202.249
PING 217.72.202.249 (217.72.202.249) 56(84) bytes of data.
64 bytes from 217.72.202.249: icmp_seq=1 ttl=56 time=48.3 ms
User stefan kann nun keinerlei Verbindungen ins Internet aufbauen
Außer pings mit IP-Adresse/ icmp echo requests.
(Mehr hab ich bisher nicht gefunden, was danach noch geht.)
Weiss jemand, wie ich das unterbinden kann
ohne andere User zu beeinflussen?
Am besten noch nur für eth0
Viele Grüße
Stefan
User vom Netzwerk-Interface aussperren
Re: User vom Netzwerk-Interface aussperren
Ich verstehe nicht genau, was dein Problem ist. Das was du wolltest hast du doch erreicht. Falls du nur diese eine Regel in einen Haufen bestehender Regel platzieren willst, stopf sie an den Anfang der Output-Chain in der filter-Tabelle.gre wrote: User stefan kann nun keinerlei Verbindungen ins Internet aufbauen. Außer pings mit IP-Adresse/ icmp echo requests.
(Mehr hab ich bisher nicht gefunden, was danach noch geht.)
Weiss jemand, wie ich das unterbinden kann ohne andere User zu beeinflussen?
Code: Select all
# iptables -I OUTPUT 1 -m owner --uid-owner stefan -j REJECT
Am besten noch nur für eth0
Code: Select all
# iptables -I OUTPUT 1 --out-interface eth0 -m owner --uid-owner stefan -j REJECT
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.
Ich mag die Schreie.
Hallo Janka,
danke für Deine prompte Antwort!
Was ich will:
Ich möchte einen User von einem Netzwerkinterface
aussperren. Komplett.
Das habe ich leider noch nicht erreicht.
Da ein ping wie z.B.
ping 192.168.3.7
immer noch funktioniert.
Wenn ein ping auf eine IP geht.
Was dann noch alles?
Aber mit dem --out-interface bin ich ein gutes Stück weiter :)
danke für Deine prompte Antwort!
Was ich will:
Ich möchte einen User von einem Netzwerkinterface
aussperren. Komplett.
Das habe ich leider noch nicht erreicht.
Da ein ping wie z.B.
ping 192.168.3.7
immer noch funktioniert.
Wenn ein ping auf eine IP geht.
Was dann noch alles?
Aber mit dem --out-interface bin ich ein gutes Stück weiter :)
Pings funktionieren deshalb, weil das ping-Binary SUID root ist. Normale Benutzer dürfen nämlich gar keine ICMP-Sockets aufmachen. Nimm einfach die SUID-Bits von /bin/ping und /bin/ping6 weg. Die anderen Nutzer können dann zwar auch nicht mehr pingen, das kann man aber via sudo wieder beheben.
Janka
Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.
Ich mag die Schreie.
Dann würde ich lieber den ausgesperrten User ping ausführen lassen. Meine Erfahrung ist, dass auch normale User ping kennen und zum Testen bei Netzwerkproblemen benutzen.Janka wrote:.. Nimm einfach die SUID-Bits von /bin/ping und /bin/ping6 weg. Die anderen Nutzer können dann zwar auch nicht mehr pingen, das kann man aber via sudo wieder beheben. ...