nixp.ru v3.0

24 мая 2017,
среда,
03:26:18 MSK

DevOps с компанией «Флант»
Longobard написал 11 сентября 2004 года в 17:43 (520 просмотров) Ведет себя как мужчина; открыл 291 тему в форуме, оставил 2499 комментариев на сайте.

Хочу закрыть доступ в инет всем юзерам кроме себя. Есть диапазон адресов локалки. Т.е. хочу прописать че-нить вида

iptables -A OUTPUT -m owner --uid-owner ! $MY_UID -d $LOCALNET -j ACCEPT

iptables -A OUTPUT -m owner --uid-owner $MY_UID -j ACCEPT

iptables -P OUTPUT DROP

но трабла в том что --uid-owner ! $MY_UID — нельзя так. Т.е как записать «процессы, uid которых НЕ $MY_UID"?

Genie

достаточно вот так:

iptables -A OUTPUT -m owner --uid-owner  $MY_UID -j ACCEPT
 iptables -A OUTPUT -d $LOCALNET -j ACCEPT
 iptables -P OUTPUT DROP
Longobard

спасибо :)

Придумал еще два варианта:

iptables -A OUTPUT -m owner ! --uid-owner $MY_UID -d $LOCALNET -j ACCEPT

iptables -A OUTPUT -m owner --uid-owner $MY_UID -j ACCEPT

iptables -P OUTPUT DROP

и ещ изврат: создаем цепочку, пакеты идущие от моего юзера направляем в нее, а там акцепт, а остальные пакеты идут далее по OUTPUT :)

Genie

вполне нормально разделение по пользователю на правило

как и на отдельные ip-адреса источника/назначения.

очень часто бывадт вот такие в конфигах строчки

iptabesl -N host1_i

iptables -N host1_o

iptables -N host2_i

iptables -N host2_o

iptables -A OUTPUT -d $host1_ip -j host1_o

iptables -A OUTPUT -d $host2_ip -j host2_o

iptables -A INPUT -s $host1_ip -j host1_i

iptables -A INPUT -s $host2_ip -j host2_i

iptables -A host1_o -p tcp --dport 137:139 -j DROP

iptables -A host1_i -p icmp --icmp-type echo-requset -j DROP

Longobard

угу. Просто появилась у меня идея зарезать инет всем кроме себя :) А то некоторым я шеллы дал и подумал теперь «а шо если они траф сосут?» :)

Теперь не сосут ;)