Bonjour,
Je viens de mettre en place des terminaux X diskless. Le systeme de base est monté par NFS ...
Ca fonctionne super bien, chaque client se retrouve avec une IP en DHCP ....
L'interface graphique est lancé via X -query IP.
Jusque la OK :-)
Par contre je desire mettre en place du masquerade via iptables sur le serveur pour accpeter ou non la mise en réseau des clients. Ce qui cloche, car y'a toujours un truc qui cloche, c'est qu'a partir du moment ou l'on lance le X sur le serveur et bien quand on navigue des clients c'est comme si on naviguait du serveur.. et j'ai beau refuser l'acces a 10.0.0.10 (un client) et bien du client ca marche toujours.
Comment peut-on faire ?
Merci pour votre aide
# Vhost me parait s imposer de lui meme :)
Posté par doublehp (site web personnel) . Évalué à 1.
Et en l occurence, c est le server sur lequel tu fais le query qui execute tous les process affiches sur le terminal.
L ecran est devant l utilisateur, mais le process est execute sur le server.
quand on navigue des clients c'est comme si on naviguait du serveur
si tu as compris ce que je viens de dire, tu comprendra que cette citation est fausse: ce n est pas comme si ... le processus du navigateur est executé sur le server !!! et si ca te plais pas, c est pareil.
Si tu veut vraiment que les clients n aient pas acces a ca, alors tu devra mettre dispo sur le server NFS tous les executables des applications auquelles les users ont droit, et ne plus utiliser -query.
Alternative: installer sur le server un 'vhost' ... tu pourra faire tourner le server X dedans, mais tu pourra lui attribuer une IP different ... de sorte que le filtrage IP deviendra trivial ... si tu as 2j a perdre pour comprendre comment ca marche, je pense que c est la meilleur solution.
Vhost est moins lourd et plus secure que chroot, et permet 1000 fois plus de choses. Dont ce dont tu as besoin.
Perso, j ai commence a l installer, mais ce n est pas un package ordinaire ... et je n ai pas pris le temps d aller au bout. Pour info, Ikoula utilise des vhost pour sous louer de la bande passante, du temps processeur, ou de la memoire ( RAM+HDD) pour divers services ... c est vraiment un truc tres puissant, et je pense sincerement que tu peux y arriver.
[^] # -m owner
Posté par Bruno Muller . Évalué à 1.
Si redlums35 n'est pas obligé de filter selon l'IP, je lui suggère de filtrer selon l'utilisateur loggué :)
Avec un petit "-m owner --uid-owner ..." ca devrait le faire (voir iptables(8)).
[^] # Re: -m owner
Posté par doublehp (site web personnel) . Évalué à 1.
Il faudrait que tu definisse le mot lourd. Cote conf je suis OK c est relou. Cote utilisation: c est transparent pour l utilisateur.
[^] # Re: -m owner
Posté par Bruno Muller . Évalué à 1.
Il n'y a pas de souci : c'est effectivement le côté conf que je trouve lourd.
Excuse-moi de ne pas avoir précisé dans mon premier post.
Sinon, Je suis d'accord avec toi concernant Vhost.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.