User vom Netzwerk-Interface aussperren

[gre]

Hallo zusammen!

Nach etlichen Stunden vergeblichen Bemuehens versuche ich es nun hier.

Auf einem Linux-PC möchte ich einen User vom Netzwerk aussperren.
Vorzugsweise nur von eth0.
Leider kenne ich mich mit iptables nicht wirklich aus...

System:
Fedora 12 -- 2.6.32.9-70.fc12.x86_64 #1 SMP Wed Mar 3 04:40:41 UTC 2010 x86_64 x86_64 x86_64 GNU/Linux)

Hier die Holzhammermethode:

Bei Null beginnen...

[root@pc1 ~]# /etc/init.d/iptables stop
[root@pc1 ~]# iptables-save
# Generated by iptables-save v1.4.5 on Sat Mar 13 18:26:12 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Sat Mar 13 18:26:12 2010

Und nun...

[root@pc1 ~]# iptables -A OUTPUT -m owner --uid-owner stefan -j REJECT
[root@pc1 ~]# iptables-save
# Generated by iptables-save v1.4.5 on Sat Mar 13 18:28:03 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A OUTPUT -m owner --uid-owner stefan -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sat Mar 13 18:28:03 2010

Nun der Test als User Stefan:

[stefan@pc1 ~]$ ping www.gmx.de
ping: unknown host www.gmx.de
[stefan@pc1 ~]$ ping 217.72.202.249
PING 217.72.202.249 (217.72.202.249) 56(84) bytes of data.
64 bytes from 217.72.202.249: icmp_seq=1 ttl=56 time=48.3 ms

User stefan kann nun keinerlei Verbindungen ins Internet aufbauen
Außer pings mit IP-Adresse/ icmp echo requests.
(Mehr hab ich bisher nicht gefunden, was danach noch geht.)

Weiss jemand, wie ich das unterbinden kann
ohne andere User zu beeinflussen?
Am besten noch nur für eth0

Viele Grüße

Stefan

[Janka]

User stefan kann nun keinerlei Verbindungen ins Internet aufbauen. Außer pings mit IP-Adresse/ icmp echo requests.
(Mehr hab ich bisher nicht gefunden, was danach noch geht.)

Weiss jemand, wie ich das unterbinden kann ohne andere User zu beeinflussen?

Ich verstehe nicht genau, was dein Problem ist. Das was du wolltest hast du doch erreicht. Falls du nur diese eine Regel in einen Haufen bestehender Regel platzieren willst, stopf sie an den Anfang der Output-Chain in der filter-Tabelle.

Code: Select all

# iptables -I OUTPUT 1 -m owner --uid-owner stefan -j REJECT 

Am besten noch nur für eth0

Code: Select all

# iptables -I OUTPUT 1 --out-interface eth0 -m owner --uid-owner stefan -j REJECT 

Janka

[gre]

Hallo Janka,

danke für Deine prompte Antwort!

Was ich will:
Ich möchte einen User von einem Netzwerkinterface
aussperren. Komplett.
Das habe ich leider noch nicht erreicht.
Da ein ping wie z.B.

ping 192.168.3.7

immer noch funktioniert.
Wenn ein ping auf eine IP geht.
Was dann noch alles?

Aber mit dem --out-interface bin ich ein gutes Stück weiter :)

[Janka]

Pings funktionieren deshalb, weil das ping-Binary SUID root ist. Normale Benutzer dürfen nämlich gar keine ICMP-Sockets aufmachen. Nimm einfach die SUID-Bits von /bin/ping und /bin/ping6 weg. Die anderen Nutzer können dann zwar auch nicht mehr pingen, das kann man aber via sudo wieder beheben.

Janka

[gre]

Da kann ich dann ja beruhigt sein :)
Besten Dank!

Viele Gruesse

Stefan

[framp]

.. Nimm einfach die SUID-Bits von /bin/ping und /bin/ping6 weg. Die anderen Nutzer können dann zwar auch nicht mehr pingen, das kann man aber via sudo wieder beheben. ...

Dann würde ich lieber den ausgesperrten User ping ausführen lassen. Meine Erfahrung ist, dass auch normale User ping kennen und zum Testen bei Netzwerkproblemen benutzen.

[gre]

Hi Framp,

danke für die Antwort.
Habe ping auch gelassen, wie es ist.
Aber ich wusste eben nicht warum der ping
noch funktionierte und zweifelte an meiner
Lösung.