URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5145
[ Назад ]

Исходное сообщение
"как запретить icmp пакеты конкретному юзеру"
Отправлено cmd4 , 10-Апр-13 05:15

Здравствуйте.
устал пытаться понять почему так происходит:
есть юзер abc с UID 1002, требуется перенаправить его исходящий трафик на 127.0.0.1:3001
все норм. но пинг не запретить никак, т.е. запретить его для всех могу а для конкретного юзера нет.
alias it="iptables"
alias itn="iptables -t nat"
it -F
itn -F
itn -I OUTPUT -p ICMP -m owner --uid-owner 1002 -j DNAT --to-destination 127.0.0.1:3001
результат нулевой ping 8.8.8.8 из под abc нормально проходит
при it -P OUTPUT ACCEPT
it -I OUTPUT -p ICMP -m owner --uid-owner 1002 -j DROP
результат нулевой ping 8.8.8.8 из под abc нормально проходит
при it -P OUTPUT DROP
it -I OUTPUT -p ICMP -m owner ! --uid-owner 1002 -j ACCEPT
результат нулевой ping 8.8.8.8 из под abc нормально проходит
-------------------------------------------------
что я не так делаю?

Содержание

как запретить icmp пакеты конкретному юзеру,PavelR, 07:57 , 10-Апр-13
- как запретить icmp пакеты конкретному юзеру,pavlinux, 16:13 , 10-Апр-13
  - как запретить icmp пакеты конкретному юзеру,PavelR, 22:20 , 10-Апр-13
    - как запретить icmp пакеты конкретному юзеру,pavlinux, 01:23 , 13-Апр-13
как запретить icmp пакеты конкретному юзеру,cmd4, 13:44 , 11-Апр-13

Сообщения в этом обсуждении

"как запретить icmp пакеты конкретному юзеру"
Отправлено PavelR , 10-Апр-13 07:57

>[оверквотинг удален]
> 127.0.0.1:3001
> результат нулевой ping 8.8.8.8 из под abc нормально проходит
> при it -P OUTPUT ACCEPT
> it -I OUTPUT -p ICMP -m owner --uid-owner 1002 -j DROP
> результат нулевой ping 8.8.8.8 из под abc нормально проходит
> при it -P OUTPUT DROP
> it -I OUTPUT -p ICMP -m owner ! --uid-owner 1002 -j ACCEPT
> результат нулевой ping 8.8.8.8 из под abc нормально проходит
> -------------------------------------------------
> что я не так делаю?
бинарник ping суидный, ICMP-сокет открывается от рута и отправка пингов отправляется от рута практически всегда.

"как запретить icmp пакеты конкретному юзеру"
Отправлено pavlinux , 10-Апр-13 16:13

>[оверквотинг удален]
>> что я не так делаю?
> бинарник ping суидный, ICMP-сокет открывается от рута и отправка пингов отправляется от
> рута практически всегда.
Вариант 1.
# chmod 0755 `which ping`;
# setcap "cap_net_raw+ep" `which ping`;
Вариант 2.
# cd tmp; wget http://mirrors.kernel.org/openwall/Owl/current/sources/Owl/p...
# tar xf iputils-s20101006.tar.bz2;
# cd iputils-s20101006;
# make
# cp -f ./ping `which ping`;
# groupadd -r -g 1111 allow_ping
# chgrp allow_ping `which ping`;
# chmod u-s `which ping`;
# chmod g+s `which ping`;
# sysctl -w net.ipv4.ping_group_range="1111 1111";
# usermod -G allow_ping user1002;

"как запретить icmp пакеты конкретному юзеру"
Отправлено PavelR , 10-Апр-13 22:20

> # sysctl -w net.ipv4.ping_group_range="1111 1111";
Это где такое?
#sysctl -w net.ipv4.ping_group_range="1111 1111"
error: "net.ipv4.ping_group_range" is an unknown key

"как запретить icmp пакеты конкретному юзеру"
Отправлено pavlinux , 13-Апр-13 01:23

>> # sysctl -w net.ipv4.ping_group_range="1111 1111";
> Это где такое?
Linux 3.0
http://kernelnewbies.org/Linux_3.0#head-c5bcc118ee946645132a...
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.g...

"как запретить icmp пакеты конкретному юзеру"
Отправлено cmd4 , 11-Апр-13 13:44

Благодарю. про пинг понял. буду исправлять.