Новые ответы

как запретить icmp пакеты конкретному юзеру,

cmd4, 10-Апр-13, 05:15 [смотреть все]

Здравствуйте.
устал пытаться понять почему так происходит:
есть юзер abc с UID 1002, требуется перенаправить его исходящий трафик на 127.0.0.1:3001
все норм. но пинг не запретить никак, т.е. запретить его для всех могу а для конкретного юзера нет.
alias it="iptables"
alias itn="iptables -t nat"
it -F
itn -F
itn -I OUTPUT -p ICMP -m owner --uid-owner 1002 -j DNAT --to-destination 127.0.0.1:3001
результат нулевой ping 8.8.8.8 из под abc нормально проходит
при it -P OUTPUT ACCEPT
it -I OUTPUT -p ICMP -m owner --uid-owner 1002 -j DROP
результат нулевой ping 8.8.8.8 из под abc нормально проходит
при it -P OUTPUT DROP
it -I OUTPUT -p ICMP -m owner ! --uid-owner 1002 -j ACCEPT
результат нулевой ping 8.8.8.8 из под abc нормально проходит
-------------------------------------------------
что я не так делаю?

Ответить | Сообщить модератору

как запретить icmp пакеты конкретному юзеру, PavelR, 07:57 , 10-Апр-13 (1)
>[оверквотинг удален]
> 127.0.0.1:3001
> результат нулевой ping 8.8.8.8 из под abc нормально проходит
> при it -P OUTPUT ACCEPT
> it -I OUTPUT -p ICMP -m owner --uid-owner 1002 -j DROP
> результат нулевой ping 8.8.8.8 из под abc нормально проходит
> при it -P OUTPUT DROP
> it -I OUTPUT -p ICMP -m owner ! --uid-owner 1002 -j ACCEPT
> результат нулевой ping 8.8.8.8 из под abc нормально проходит
> -------------------------------------------------
> что я не так делаю?
бинарник ping суидный, ICMP-сокет открывается от рута и отправка пингов отправляется от рута практически всегда.
Ответить | Сообщить модератору

как запретить icmp пакеты конкретному юзеру, pavlinux, 16:13 , 10-Апр-13 (2)
>[оверквотинг удален]
>> что я не так делаю?
> бинарник ping суидный, ICMP-сокет открывается от рута и отправка пингов отправляется от
> рута практически всегда.
Вариант 1.
```
# chmod 0755 `which ping`;
# setcap "cap_net_raw+ep" `which ping`;
```
Вариант 2.
```
# cd tmp; wget http://mirrors.kernel.org/openwall/Owl/current/sources/Owl/p...
# tar xf iputils-s20101006.tar.bz2;
# cd iputils-s20101006;
# make
# cp -f ./ping `which ping`;
# groupadd -r -g 1111 allow_ping
# chgrp allow_ping `which ping`;
# chmod u-s `which ping`;
# chmod g+s `which ping`;
# sysctl -w net.ipv4.ping_group_range="1111 1111";
# usermod -G allow_ping user1002;
```
Ответить | Сообщить модератору

как запретить icmp пакеты конкретному юзеру, PavelR, 22:20 , 10-Апр-13 (3)
> # sysctl -w net.ipv4.ping_group_range="1111 1111";
Это где такое?
#sysctl -w net.ipv4.ping_group_range="1111 1111"
error: "net.ipv4.ping_group_range" is an unknown key
Ответить | Сообщить модератору

как запретить icmp пакеты конкретному юзеру, pavlinux, 01:23 , 13-Апр-13 (5)
>> # sysctl -w net.ipv4.ping_group_range="1111 1111";
> Это где такое?
Linux 3.0
http://kernelnewbies.org/Linux_3.0#head-c5bcc118ee946645132a...
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.g...
Ответить | Сообщить модератору

как запретить icmp пакеты конкретному юзеру, cmd4, 13:44 , 11-Апр-13 (4)
Благодарю. про пинг понял. буду исправлять.
Ответить | Сообщить модератору