» »

Blokiranje interneta specifičnemu uporabniku?

Blokiranje interneta specifičnemu uporabniku?

poweroff ::

Uporabniku z imenom uporabnik1 bi rad onemogočil dostop do interneta, oziroma, rad bi mu omogočil samo dostop do enega IP-ja in do DNS-ov. Kako to naredim z iptables?

Načeloma naj bi delovalo tole:

sudo iptables -A OUTPUT -m owner --uid-owner uporabnik1 -j REJECT

Ampak ne deluje. Kakšna ideja?
sudo poweroff

jype ::

uporabnik1 zamenjaj z njegovim uid in namesto REJECT uporabi DROP

Matthai> sudo iptables -A OUTPUT -m owner --uid-owner uporabnik1 -j REJECT
sudo iptables -A OUTPUT -m owner --uid-owner 1234 -j DROP

poweroff ::

Hmm, pogledam UID userja:
egrep -i "^matej" /etc/passwd

... in vidim, da je 1000:
matej:x:1000:1000:Matej,,,:/home/matej:/bin/bash


Torej rečem:
sudo iptables -A OUTPUT -m owner --uid-owner 1000 -j DROP


Internet mi še vedno dela!

sudo iptables -L


mi izpiše:
...
DROP       all  --  anywhere             anywhere             owner UID match matej
...


Ni mi jasno...
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

b3D_950 ::

sudo ufw disable


?
Zdaj ko je mir, jemo samo krompir.

poweroff ::

Hmm, tega si pa ne želim, ker imam tam nastavljenih cel kup pomembnih stvari. Koeksistenca ni možna?
sudo poweroff

b3D_950 ::

Zgleda da je možna, ampak nisem testiral.

...since ufw is simply a frontend for iptables, anything that can be done with iptables can be done within the ufw framework...

tole zgoraj piše v README (https://launchpad.net/ufw) in nekaj omenja /etc/ufw/before.rules
Zdaj ko je mir, jemo samo krompir.

sas084 ::

Mogoče je problem v vrstnem redu izvajanja pravil. Če se ne motim se pravila znotraj posamezne verige izvajajo zaporedno. Probaj zamenjat vrstni red izvajanja pravil in daj pravilo
sudo iptables -A OUTPUT -m owner --uid-owner 1000 -j DROP
na začetek OUTPUT verige.

poweroff ::

Jup. Namesto -A je treba uporabiti -I
sudo iptables -I OUTPUT -m owner --uid-owner 1000 -j DROP


...did the trick.

Takole pa pravilo izbrišem (če bo kdo rabil):

sudo iptables -D OUTPUT -m owner --uid-owner 1000 -j DROP
sudo poweroff

AndrejO ::

poweroff je izjavil:

Jup. Namesto -A je treba uporabiti -I

sudo iptables -I OUTPUT -m owner --uid-owner 1000 -j DROP


...did the trick.

Jejheta, jejheta... To pomeni, da si pravilo dodajal kot zadnjega v vrsti in je bilo pravilo, ki je promet dovoljevalo nekje pred njim.

Drugič se raje spomni, da se pravila gleda po vrstnem redu, kot so navedena in obveljalo bo tisto, ki prvo izpolni kriterij.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Dnsmasq problem

Oddelek: Omrežja in internet
131040 (667) BlaY0
»

dnsmasq problem

Oddelek: Omrežja in internet
121842 (1582) poweroff
»

Crontab in skripta v 8.04.2; kako?

Oddelek: Operacijski sistemi
91305 (1100) BigWhale
»

iptables problem z SSH

Oddelek: Omrežja in internet
121910 (1764) sverde21
»

iptables skripta

Oddelek: Omrežja in internet
72117 (1897) karafeka

Več podobnih tem