Forum général.cherche-logiciel Bloquer le trafic d'un utilisateur avec --uid-owner match

Posté par Henry-Nicolas Tourneur (site web personnel) le 13 février 2007 à 23:08.

Étiquettes : aucune

fév.

2007

Bonjour,

Je tente actuellement de limiter un utilisateur à simplement pouvoir se connecter à un serveur local employé dans le cadre d'un développement.

Pour ce faire j'ai simplement ajouté ces deux lignes à la fin de mes règles iptables :

iptables -A OUTPUT -m owner --uid-owner 1004 -j DROP # utilisateur ipl
iptables -A OUTPUT -m owner --uid-owner 1004 -d gateway -p TCP --dport 5000 -j ACCEPT # ipl peut se connecter à sybase.

Mais ça n'empêche pas l'utilisateur en question de faire ce qu'il veut (employé lynx pour surfer, etc ...)

Y a-t-il quelque chose que j'ai loupé ?

Je signale que le script contenant les règles passe sans problème et que ces deux règles apparaissent bien lorsque je fait un iptables -L.

D'avance merci.

# de memoire

Posté par NeoX le 13 février 2007 à 23:39. Évalué à 2.

il me semble qu'iptables s'arrete à la premiere regle repondant à la connexion

donc

iptables -A OUTPUT -m owner --uid-owner 1004 -j DROP # utilisateur ipl
iptables -A OUTPUT -m owner --uid-owner 1004 -d gateway -p TCP --dport 5000 -j ACCEPT # ipl peut se connecter à sybase.

perso j'aurais inversé les 2 lignes.
en gros j'autorise sybase et si ca ne correspond pas à sybase je drop.

ensuite, cette regle iptable est sur le poste de l'utilisateur ou bien sur le serveur ?
si c'est sur le poste utilisateur, alors ca devrait fonctionner.

si c'est sur le serveur, comment fait-il le rapprochement entre la connexion entrante et l'UID utilisateur ?
- [^] # Re: de memoire
  
  Posté par Henry-Nicolas Tourneur (site web personnel) le 14 février 2007 à 09:59. Évalué à 1.
  
  En fait le serveur et le client ne font qu'un, le client se connecte en ssh au serveur, et travaille localement sur le serveur.
  
  Je vais tester cette modification tantot, merci.
- [^] # Re: de memoire
  
  Posté par Henry-Nicolas Tourneur (site web personnel) le 14 février 2007 à 20:05. Évalué à 1.
  
  Non, j'ai essayé d'inverser les deux règles et ça ne change rien.
  - [^] # Re: de memoire
    
    Posté par NeoX le 14 février 2007 à 21:12. Évalué à 1.
    
    et ton utilisateur a bien l'UID 1004 ?
    - [^] # Re: de memoire
      
      Posté par Henry-Nicolas Tourneur (site web personnel) le 14 février 2007 à 21:32. Évalué à 1.
      
      Oui, il a bien l'UID 1004.
    - [^] # Re: de memoire
      
      Posté par Henry-Nicolas Tourneur (site web personnel) le 14 février 2007 à 22:06. Évalué à 1.
      
      J'ai trouvé pourquoi ça ne fonctionnait pas.
      
      Au dessus de ces deux règles j'avais une règle qui permettait systématiquement l'établissement de nouvelle connection, donc l'utilisateur en question passait d'abord par cette règle qui lui autorisait la connection puis c'était fini.
      
      En mettant tout dans le bon ordre, ça marche bien.
      
      Merci de m'avoir aidé.
      - [^] # Re: de memoire
        
        Posté par NeoX le 14 février 2007 à 22:42. Évalué à 1.
        
        ca me rassure mes souvenirs etaient bons
        (sur l'histoire de la premiere regle rencontrée est la bonne)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.