форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains)
Изначальное сообщение		[ Отслеживать ]

"как запретить icmp пакеты конкретному юзеру"	+/–
Сообщение от cmd4 on 10-Апр-13, 05:15
Здравствуйте. устал пытаться понять почему так происходит: есть юзер abc с UID 1002, требуется перенаправить его исходящий трафик на 127.0.0.1:3001 все норм. но пинг не запретить никак, т.е. запретить его для всех могу а для конкретного юзера нет. alias it="iptables" alias itn="iptables -t nat" it -F itn -F itn -I OUTPUT -p ICMP -m owner --uid-owner 1002 -j DNAT --to-destination 127.0.0.1:3001 результат нулевой ping 8.8.8.8 из под abc нормально проходит при it -P OUTPUT ACCEPT it -I OUTPUT -p ICMP -m owner --uid-owner 1002 -j DROP результат нулевой ping 8.8.8.8 из под abc нормально проходит при it -P OUTPUT DROP it -I OUTPUT -p ICMP -m owner ! --uid-owner 1002 -j ACCEPT результат нулевой ping 8.8.8.8 из под abc нормально проходит ------------------------------------------------- что я не так делаю?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "как запретить icmp пакеты конкретному юзеру"	+/–
Сообщение от PavelR (ok) on 10-Апр-13, 07:57
>[оверквотинг удален] > 127.0.0.1:3001 > результат нулевой ping 8.8.8.8 из под abc нормально проходит > при it -P OUTPUT ACCEPT > it -I OUTPUT -p ICMP -m owner --uid-owner 1002 -j DROP > результат нулевой ping 8.8.8.8 из под abc нормально проходит > при it -P OUTPUT DROP > it -I OUTPUT -p ICMP -m owner ! --uid-owner 1002 -j ACCEPT > результат нулевой ping 8.8.8.8 из под abc нормально проходит > ------------------------------------------------- > что я не так делаю? бинарник ping суидный, ICMP-сокет открывается от рута и отправка пингов отправляется от рута практически всегда.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "как запретить icmp пакеты конкретному юзеру"	+/–
	Сообщение от pavlinux (ok) on 10-Апр-13, 16:13
	>[оверквотинг удален] >> что я не так делаю? > бинарник ping суидный, ICMP-сокет открывается от рута и отправка пингов отправляется от > рута практически всегда. Вариант 1. # chmod 0755 `which ping`; # setcap "cap_net_raw+ep" `which ping`; Вариант 2. # cd tmp; wget http://mirrors.kernel.org/openwall/Owl/current/sources/Owl/p... # tar xf iputils-s20101006.tar.bz2; # cd iputils-s20101006; # make # cp -f ./ping `which ping`; # groupadd -r -g 1111 allow_ping # chgrp allow_ping `which ping`; # chmod u-s `which ping`; # chmod g+s `which ping`; # sysctl -w net.ipv4.ping_group_range="1111 1111"; # usermod -G allow_ping user1002;
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "как запретить icmp пакеты конкретному юзеру"	+/–
	Сообщение от PavelR (ok) on 10-Апр-13, 22:20
	> # sysctl -w net.ipv4.ping_group_range="1111 1111"; Это где такое? #sysctl -w net.ipv4.ping_group_range="1111 1111" error: "net.ipv4.ping_group_range" is an unknown key
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "как запретить icmp пакеты конкретному юзеру"	+/–
	Сообщение от pavlinux (ok) on 13-Апр-13, 01:23
	>> # sysctl -w net.ipv4.ping_group_range="1111 1111"; >  Это где такое? Linux 3.0 http://kernelnewbies.org/Linux_3.0#head-c5bcc118ee946645132a... http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.g...
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "как запретить icmp пакеты конкретному юзеру"	+/–
Сообщение от cmd4 on 11-Апр-13, 13:44
Благодарю. про пинг понял. буду исправлять.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема