Pro-Linux.de

Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 19. Nov 2018 4:53

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 11 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 09. Mär 2007 21:48 
Offline

Registriert: 09. Mär 2007 21:04
Beiträge: 7
Hallo,

ich nutze openSuse 10.2 und würde gern einigen Benutzern die Internetnutzung untersagen. (Kinder) Wie stelle ich das am schlauesten an ? Es wäre nett, wenn mir jemand einen Konsolentipp geben könnte und evtl paralell dazu übers grafische.
Aus den Systemgruppen unter Yast werde ich nicht schlau. Mir schein es ist völlig wurscht ob z.B. dialout bei einem Benutzer der Usergruppe gesetzt ist oder nicht.

Danke für die Hilfe


Zuletzt geändert von Munin am 12. Mär 2007 8:41, insgesamt 1-mal geändert.

Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 09. Mär 2007 22:06 
Offline
prolinux-forum-admin

Registriert: 14. Feb 2003 13:19
Beiträge: 1294
Wie ist der Rechner denn an's Internet angebunden ?


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 10. Mär 2007 19:04 
Offline

Registriert: 09. Mär 2007 21:04
Beiträge: 7
Guten Tag,

Der Rechner funkt mit T-DSL ins Internet. Netzwerkkarte (eth0) über DSL Modem von der Telekom. Die Nutzer sind alle Lokal, haben also keine eigenen Rechner.

Tja, wie nun ??? :oops:

Danke für die Hilfe

Munin


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 11. Mär 2007 11:52 
Offline
prolinux-forum-admin

Registriert: 14. Feb 2003 13:19
Beiträge: 1294
Hi !

Also zuerst: Ich benutze SuSE nicht und kann Dir daher nur so ungefähr mitteilen, wie ich mir das vorstelle.

Wenn ich Dich richtig verstehe baust Du über eth0 eine Internetverbindung über ein Modem auf, also eine pppoe-Verbindung. Du benutzt also keinen Router, das ist wichtig.

Dann würde es wie folgt klappen: Du müßtest Dein DSL so konfigurieren, daß es die Verbindung nicht automatisch aufgebaut wird, sondern manuell über einen Befehl. Dieser Befehl wird von Distribution zu Distribution unterschiedlich sein (z. B. pon und poff oder ifup und ifdown). Den Zugriff auf diese Befehl kannst Du über sudo einschränken, bzw. wie Du schon angemerkt hast evtl. wird das bei SuSE über die Gruppen "dialout" geregelt.

Z. B. könntest Du eine Gruppe "dsl" anlegen und alle User dort eintragen, die verbinden dürfen. Dann startest Du als root "visudo" und trägst dort z. B. ein:
Code:
%dsl ALL=NOPASSWD: /usr/bin/ifup ppp0
%dsl ALL=NOPASSWD: /usr/bin/ifdown ppp0
Die Pfadangabe vor dem Befehl ist aus Sicherheitsgründen sehr wichtig ! Dann kannst Du als User tippen:
Code:
sudo /usr/bin/ifup ppp0


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 11. Mär 2007 20:34 
Offline

Registriert: 09. Mär 2007 21:04
Beiträge: 7
Guten Tag,

ich bin der Antwort schon näher gekommen, allerdings auf einem anderen Weg als der den Du vorgeschlagen hast.

Ich habe den beiden Nutzern eine neue Standardgruppe (neu erstellt) zugewiesen, als root nun folgenden Befehl ausgeführt.

iptables -I OUTPUT -o eth0 -m owner --gid-owner nonet -j REJECT (vielen Dank an ASEM vom linux-club)

(nonet ist hierbei der Name meiner neuen Gruppe)

Es funktioniert prima. Die Browser öffnen sich zwar aber es kommt nur eine Fehlermeldung.
Jetzt bin ich am basteln und forschen wo dieser Befehl eingetragen werden muß, damit das nach jedem booten automatisch ausgeführt wird.

Habt ihr ne Idee ??

Danke für die Hilfe

Munin


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 11. Mär 2007 21:02 
Offline
Benutzeravatar

Registriert: 06. Mai 2006 19:58
Beiträge: 252
Hallo,

Befehle, die in das Script

/etc/init.d/boot.local

eingefügt werden, sollten beim Booten ausgeführt werden.

Viele Grüße
Frank


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 11. Mär 2007 22:02 
Offline

Registriert: 09. Mär 2007 21:04
Beiträge: 7
Guten Tag,

leider klappt es nicht so einfach, was mache ich falsch ?
Hier meine /etc/init.d/boot.local. (Mehr ist das nicht ?)

#! /bin/sh
#
# Copyright (c) 2002 SuSE Linux AG Nuernberg, Germany. All rights reserved.
#
# Author: Werner Fink <werner@suse.de>, 1996
# Burchard Steinbild, 1996
#
# /etc/init.d/boot.local
#
# script with local commands to be executed from init on system startup
#
# Here you should add things, that should happen directly after booting
# before we're going to the first run level.
#
iptables -I OUTPUT -o eth0 -m owner --gid-owner nonet -j REJECT

Habe ich vielleicht den Befehl an die falsche Stelle gesetzt. ???
Aber wohin sonst, gibt ja keine Befehle außer meinem und der war vorher auch nicht da.






:roll: Danke fürs helfen. MUNIN


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 11. Mär 2007 22:52 
Offline
Benutzeravatar

Registriert: 11. Feb 2006 19:10
Beiträge: 3569
Das klappt nicht, weil SuSE ein eigenes Firewall-Skript besitzt, das deine Einstellung wieder überschreibt. Leider ist dort das Einbinden eigener Regeln nicht vorgesehen. Es sollte aber klappten, wenn du in der Datei /etc/init.d/SuSEfirewall2_setup nach

$SUSEFWALL -q start

die Zeile

iptables -I OUTPUT 1 -o eth0 -m owner --gid-owner nonet -j REJECT

einfügst. WICHTIG: -I OUTPUT 1 <--- Damit das als erste Regel (vor dem ACCEPT für alle Pakete) eingebaut wird.

Janka

_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 11. Mär 2007 23:39 
Offline

Registriert: 09. Mär 2007 21:04
Beiträge: 7
Gute Nacht,

erstmal, DAS WAR DIE LÖSUNG. Danke an Janka



/etc/rc.status
rc_reset

case "$1" in
start)
echo -n "Starting Firewall Initialization "
echo -n '(phase 2 of 2) '
rm -f "$BOOTLOCKFILE"
$SUSEFWALL -q start
iptables -I OUTPUT 1 -o eth0 -m owner --gid-owner nonet -j REJECT
rc_status -v
;;
stop)
echo -n "Shutting down the Firewall "
if [ -z "$REDIRECT" ]; then


aber ich glaube das die Suse Firewall durchaus eigene Regeln annimmt.

Datei /etc/sysconfig/SuSEFirewall2 unter Pkt 25


# 25.)
# Do you want to load customary rules from a file?
#
# This is really an expert option. NO HELP WILL BE GIVEN FOR THIS!
# READ THE EXAMPLE CUSTOMARY FILE AT /etc/sysconfig/scripts/SuSEfirewall2-custom
#
#FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
FW_CUSTOMRULES=""

## Type: yesno
## Default: no
#

hier habe ich bereits versucht den iptables Befehl einzutragen (hinter FW_CUSTOMRULES="iptables ...."

hat nicht geklappt. Weiß zwar nicht warum, aber irgendwer wirds wissen.

Danke nochmal an alle ganz besonders Janka. :D

Munin[/code]


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 12. Mär 2007 8:39 
Offline

Registriert: 09. Mär 2007 21:04
Beiträge: 7
Guten Tag,

Nochmal zurück zu den Firewallregeln.
Es funktioniert jetzt. (Danke an b3ll3roph0n vom Linux-Club)

Also, habe den Eintrag in der /etc/init.d/SuSEfirewall2_setup wieder gelöscht und die ganze Geschichte über den Customeintrag der Firewall laufen lassen.

Das sieht jetzt wie folgt aus: (etc/sysconfig/SuSEfirewall2)
Code:
# 25.&#41;
# Do you want to load customary rules from a file?
#
# This is really an expert option. NO HELP WILL BE GIVEN FOR THIS!
# READ THE EXAMPLE CUSTOMARY FILE AT /etc/sysconfig/scripts/SuSEfirewall2-custom
#
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
#FW_CUSTOMRULES=""

## Type&#58;        yesno
## Default&#58;     no
#
und die Datei /etc/sysconfig/scripts/SuSEfirewall_customs ist um einen Eintrag reicher geworden:
Code:
fw_custom_before_port_handling&#40;&#41; &#123; 
    # these rules will be loaded after the anti-spoofing and icmp handling
    # and after the input has been redirected to the input_XXX and 
    # forward_XXX chains and some basic chain-specific anti-circumvention
iptables -I OUTPUT -o eth0 -m owner --gid-owner nonet -j REJECT    
    # rules have been set,
    # but before any IP protocol or TCP/UDP port allow/protection rules
    # will be set.
    # You can use this hook to allow/deny certain IP protocols or TCP/UDP
    # ports before the SuSEfirewall2 generated rules are hit.
Übrigens hatte ich den Befehl als erste Zeile eingetragen, muss jetzt aber feststellen das er sich jetzt woanders befindet. s.o.

Naja,

Vielen Dank an alle

Munin


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 14. Mär 2007 11:29 
Offline

Registriert: 09. Mär 2007 21:04
Beiträge: 7
Guten Tag,

hat jemand eine Ahnung wie das passiert ist.

Ich benutzte gedit, aus der Zeile aufgerufen, dann abgespeichert und beim nächsten mal laden stand der Befehl woanders. s.o.

Funktionieren tut alles.

.. mhm, geht doch nicht so von ganz allein, sind doch nicht bei I Robot.

Danke, Munin

_________________
Am Anfang ist es immer ein "Aufbruch ins Unbekannte"


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 11 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de