The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Ограничение возможностей ssh туннел..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Ограничение возможностей ssh туннел..."  
Сообщение от auto_tips (ok) on 23-Апр-09, 04:00 
Использование туннелей на основе ssh сейчас широко распространено. И многие используют его как
универсальное решение для организации туннелей внутрь локальной сети для доступа к различным сервисам.
И в связи с этим очень часто возникает вопрос "А как ограничить возможности такого туннеля".

Например:
есть компания, которая обслуживает ваш web сервер. Для выполнения этой работы требуется доступ
к серверу web-server.dmz по портам 80 и 443.

Решение:
на сервере ssh, через который создаётся туннель, выполняем:

1) добавляем пользователя aaa

2) устанавливаем ему шелл /bin/false (или другой, только так чтобы он не мог залогиниться)

3) Добавляем правила iptables:

   iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 80 -m owner --uid-owner aaa -j ACCEPT
   iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 443 -m owner --uid-owner aaa -j ACCEPT
   iptables -A OUTPUT -m owner --uid-owner aaa -j REJECT

URL:
Обсуждается: https://www.opennet.ru/tips/info/2043.shtml

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Ограничение возможностей ssh туннеля при помощи iptables"  
Сообщение от pavlinux (ok) on 23-Апр-09, 04:00 
Bad value for "--uid-owner" option: "aaa"

Числовое надо :)

# export AAA=$(id -u aaa);
# iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 80 -m owner --uid-owner $AAA -j ACCEPT
# iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 443 -m owner --uid-owner $AAA -j ACCEPT
# iptables -A OUTPUT -m owner --uid-owner $AAA -j REJECT


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Ограничение возможностей ssh туннеля при помощи iptables"  
Сообщение от Avatar (??) on 23-Апр-09, 11:01 
У меня имя нормально работает.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Ограничение возможностей ssh туннеля при помощи iptables"  
Сообщение от pavlinux (ok) on 23-Апр-09, 15:58 
>У меня имя нормально работает.

Наверно айпистолы старый

iptables v1.4.2-rc1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Ограничение возможностей ssh туннеля при помощи iptables"  
Сообщение от daevy on 23-Апр-09, 06:17 
и не забыть проверить чтоб
CONFIG_NETFILTER_XT_MATCH_OWNER=y
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Ограничение возможностей ssh туннеля при помощи iptables"  
Сообщение от pavlinux (ok) on 23-Апр-09, 23:04 
Я наконец придумал какой от этого вред :)
Можно узнать каким юзерам разрешено ходить в тунель.
Вот тут, как раз фишка --uid-owner которая работает с именами вместо UID
и сыграет свою злую роль. 8-)



Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Ограничение возможностей ssh туннеля при помощи iptables"  
Сообщение от User294 (??) on 23-Апр-09, 23:13 
>и сыграет свою злую роль. 8-)

Ужасно злую.А что это знание даст?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Ограничение возможностей ssh туннеля при помощи iptables"  
Сообщение от Backspace on 24-Апр-09, 09:58 
Вариант для ipfw :
ipfw add allow tcp from me to web-server.dmz 80,443 uid aaa
ipfw add deny tcp from me to any uid aaa
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Ограничение возможностей ssh туннеля при помощи iptables"  
Сообщение от anon on 29-Апр-09, 11:43 
а последняя строка зачем?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру