Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
User vom Netzwerk-Interface aussperren

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
gre



Anmeldungsdatum: 13.03.2010
Beiträge: 4
Wohnort: München

BeitragVerfasst am: 13. März 2010 18:51   Titel: User vom Netzwerk-Interface aussperren

Hallo zusammen!

Nach etlichen Stunden vergeblichen Bemuehens versuche ich es nun hier.

Auf einem Linux-PC möchte ich einen User vom Netzwerk aussperren.
Vorzugsweise nur von eth0.
Leider kenne ich mich mit iptables nicht wirklich aus...

System:
Fedora 12 -- 2.6.32.9-70.fc12.x86_64 #1 SMP Wed Mar 3 04:40:41 UTC 2010 x86_64 x86_64 x86_64 GNU/Linux)

Hier die Holzhammermethode:

Bei Null beginnen...

[root@pc1 ~]# /etc/init.d/iptables stop
[root@pc1 ~]# iptables-save
# Generated by iptables-save v1.4.5 on Sat Mar 13 18:26:12 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Sat Mar 13 18:26:12 2010

Und nun...

[root@pc1 ~]# iptables -A OUTPUT -m owner --uid-owner stefan -j REJECT
[root@pc1 ~]# iptables-save
# Generated by iptables-save v1.4.5 on Sat Mar 13 18:28:03 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A OUTPUT -m owner --uid-owner stefan -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sat Mar 13 18:28:03 2010

Nun der Test als User Stefan:

[stefan@pc1 ~]$ ping www.gmx.de
ping: unknown host www.gmx.de
[stefan@pc1 ~]$ ping 217.72.202.249
PING 217.72.202.249 (217.72.202.249) 56(84) bytes of data.
64 bytes from 217.72.202.249: icmp_seq=1 ttl=56 time=48.3 ms

User stefan kann nun keinerlei Verbindungen ins Internet aufbauen
Außer pings mit IP-Adresse/ icmp echo requests.
(Mehr hab ich bisher nicht gefunden, was danach noch geht.)

Weiss jemand, wie ich das unterbinden kann
ohne andere User zu beeinflussen?
Am besten noch nur für eth0 Wink

Viele Grüße

Stefan
 
Benutzer-Profile anzeigen Private Nachricht senden

Janka



Anmeldungsdatum: 11.02.2006
Beiträge: 3569

BeitragVerfasst am: 13. März 2010 22:08   Titel: Re: User vom Netzwerk-Interface aussperren

gre hat folgendes geschrieben::

User stefan kann nun keinerlei Verbindungen ins Internet aufbauen. Außer pings mit IP-Adresse/ icmp echo requests.
(Mehr hab ich bisher nicht gefunden, was danach noch geht.)

Weiss jemand, wie ich das unterbinden kann ohne andere User zu beeinflussen?

Ich verstehe nicht genau, was dein Problem ist. Das was du wolltest hast du doch erreicht. Falls du nur diese eine Regel in einen Haufen bestehender Regel platzieren willst, stopf sie an den Anfang der Output-Chain in der filter-Tabelle.
Code:

# iptables -I OUTPUT 1 -m owner --uid-owner stefan -j REJECT


Zitat:

Am besten noch nur für eth0 Wink

Code:

# iptables -I OUTPUT 1 --out-interface eth0 -m owner --uid-owner stefan -j REJECT


Janka
_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.
 
Benutzer-Profile anzeigen Private Nachricht senden

gre



Anmeldungsdatum: 13.03.2010
Beiträge: 4
Wohnort: München

BeitragVerfasst am: 13. März 2010 23:21   Titel:

Hallo Janka,

danke für Deine prompte Antwort!

Was ich will:
Ich möchte einen User von einem Netzwerkinterface
aussperren. Komplett.
Das habe ich leider noch nicht erreicht.
Da ein ping wie z.B.

ping 192.168.3.7

immer noch funktioniert.
Wenn ein ping auf eine IP geht.
Was dann noch alles?

Aber mit dem --out-interface bin ich ein gutes Stück weiter :)
 
Benutzer-Profile anzeigen Private Nachricht senden

Janka



Anmeldungsdatum: 11.02.2006
Beiträge: 3569

BeitragVerfasst am: 13. März 2010 23:39   Titel:

Pings funktionieren deshalb, weil das ping-Binary SUID root ist. Normale Benutzer dürfen nämlich gar keine ICMP-Sockets aufmachen. Nimm einfach die SUID-Bits von /bin/ping und /bin/ping6 weg. Die anderen Nutzer können dann zwar auch nicht mehr pingen, das kann man aber via sudo wieder beheben.

Janka
_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.
 
Benutzer-Profile anzeigen Private Nachricht senden

gre



Anmeldungsdatum: 13.03.2010
Beiträge: 4
Wohnort: München

BeitragVerfasst am: 13. März 2010 23:52   Titel:

Da kann ich dann ja beruhigt sein :)
Besten Dank!

Viele Gruesse

Stefan
 
Benutzer-Profile anzeigen Private Nachricht senden

framp



Anmeldungsdatum: 21.03.2010
Beiträge: 1
Wohnort: bei Stuttgart

BeitragVerfasst am: 21. März 2010 18:54   Titel:

Janka hat folgendes geschrieben::
.. Nimm einfach die SUID-Bits von /bin/ping und /bin/ping6 weg. Die anderen Nutzer können dann zwar auch nicht mehr pingen, das kann man aber via sudo wieder beheben. ...

Dann würde ich lieber den ausgesperrten User ping ausführen lassen. Meine Erfahrung ist, dass auch normale User ping kennen und zum Testen bei Netzwerkproblemen benutzen.
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

gre



Anmeldungsdatum: 13.03.2010
Beiträge: 4
Wohnort: München

BeitragVerfasst am: 21. März 2010 20:47   Titel:

Hi Framp,

danke für die Antwort.
Habe ping auch gelassen, wie es ist.
Aber ich wusste eben nicht warum der ping
noch funktionierte und zweifelte an meiner
Lösung.
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy