forum.opennet.ru - "аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..." (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..."

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..."
Сообщение от eightn on 02-Дек-03, 17:29 (MSK)
Возможно ли в правилах ipfw учитывать пользователя, с правами которого был сгенерирован пакет? Т.е. требуется аналог команды iptables -A OUTPUT -d 10.0.0.0/8 -m owner --uid-owner user1 -j DROP запретить локальному пользователю user1 обращаться к определенному диапазону подсетей.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..., lubeg, 06:52 , 03-Дек-03, (1)
- аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..., eightn, 01:22 , 04-Дек-03, (2)
  - аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..., lubeg, 04:54 , 04-Дек-03, (3)
    - аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..., eightn, 11:02 , 04-Дек-03, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..."

Сообщение от lubeg on 03-Дек-03, 06:52  (MSK)

>Возможно ли в правилах ipfw учитывать пользователя, с правами которого был сгенерирован
>пакет?
>
>Т.е. требуется аналог команды
>iptables -A OUTPUT -d 10.0.0.0/8 -m owner --uid-owner user1 -j DROP
>запретить локальному пользователю user1 обращаться к определенному диапазону подсетей.
man ipfw в разделе RULE OPTIONS (MATCH PATTERNS) на предмет uid

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..."

Сообщение от eightn on 04-Дек-03, 01:22  (MSK)

>man ipfw в разделе RULE OPTIONS (MATCH PATTERNS) на предмет uid
Спасибо,невнимательно читал ман.
Но после внимательного прочтения все равно не заработало.
Правила вида
ipfw add 900 deny ip from any to www.ru uid www
(вместо www пробывал указывать и цифровой id)
не работают для пользователя www, а иногда, как не странно, срабатывают для всех пользователей сразу.
вот пример:
# ipfw show
00100        878     101308 allow ip from any to any via lo0
00200          0          0 deny ip from any to 127.0.0.0/8
00300          0          0 deny ip from 127.0.0.0/8 to any
65000      50619    8882772 allow ip from any to any
65535          1         84 deny ip from any to any
# ipfw add 900 deny ip from any to www.ru uid www                          00900 deny ip from any to 194.87.0.50 uid www
# ipfw show
00100        932     107202 allow ip from any to any via lo0
00200          0          0 deny ip from any to 127.0.0.0/8
00300          0          0 deny ip from 127.0.0.0/8 to any
00900          0          0 deny ip from any to 194.87.0.50 uid www
65000      50629    8884872 allow ip from any to any
65535          1         84 deny ip from any to any

# su www
$ whoami
www
$ wget www.ru
--00:57:05--  http://www.ru/
           => `index.html'
Resolving www.ru... done.
Connecting to www.ru[194.87.0.50]:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: /eng/index.html [following]
--00:57:05--  http://www.ru/eng/index.html
           => `index.html'
Connecting to www.ru[194.87.0.50]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 12,177 [text/html]
100%[========================>] 12,177        16.49K/s    ETA 00:00
00:57:06 (16.49 KB/s) - `index.html' saved [12177/12177]

В чем тут может быть дело?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..."

Сообщение от lubeg on 04-Дек-03, 04:54  (MSK)

># su www
>$ whoami
>www

попробуй так: su - www

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..."

Сообщение от eightn on 04-Дек-03, 11:02  (MSK)

>># su www
>>$ whoami
>>www
>
>
>попробуй так: su - www
Попробовал. Результат не изменился.
Да, в предыдущем сообщении не указал опции ядра, вот они:
device bpf
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=300

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..."
Сообщение от lubeg on 03-Дек-03, 06:52 (MSK)
>Возможно ли в правилах ipfw учитывать пользователя, с правами которого был сгенерирован >пакет? > >Т.е. требуется аналог команды >iptables -A OUTPUT -d 10.0.0.0/8 -m owner --uid-owner user1 -j DROP >запретить локальному пользователю user1 обращаться к определенному диапазону подсетей. man ipfw в разделе RULE OPTIONS (MATCH PATTERNS) на предмет uid
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..."
	Сообщение от eightn on 04-Дек-03, 01:22 (MSK)
	>man ipfw в разделе RULE OPTIONS (MATCH PATTERNS) на предмет uid Спасибо,невнимательно читал ман. Но после внимательного прочтения все равно не заработало. Правила вида ipfw add 900 deny ip from any to www.ru uid www (вместо www пробывал указывать и цифровой id) не работают для пользователя www, а иногда, как не странно, срабатывают для всех пользователей сразу. вот пример: # ipfw show 00100 878 101308 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 65000 50619 8882772 allow ip from any to any 65535 1 84 deny ip from any to any # ipfw add 900 deny ip from any to www.ru uid www 00900 deny ip from any to 194.87.0.50 uid www # ipfw show 00100 932 107202 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 00900 0 0 deny ip from any to 194.87.0.50 uid www 65000 50629 8884872 allow ip from any to any 65535 1 84 deny ip from any to any # su www $ whoami www $ wget www.ru --00:57:05-- http://www.ru/ => `index.html' Resolving www.ru... done. Connecting to www.ru[194.87.0.50]:80... connected. HTTP request sent, awaiting response... 302 Found Location: /eng/index.html [following] --00:57:05-- http://www.ru/eng/index.html => `index.html' Connecting to www.ru[194.87.0.50]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 12,177 [text/html] 100%[========================>] 12,177 16.49K/s ETA 00:00 00:57:06 (16.49 KB/s) - `index.html' saved [12177/12177] В чем тут может быть дело?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..."
	Сообщение от lubeg on 04-Дек-03, 04:54 (MSK)
	># su www >$ whoami >www попробуй так: su - www
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "аналог -m owner во Freebsd ipfw (учесть юзера, сгенерившего ..."
	Сообщение от eightn on 04-Дек-03, 11:02 (MSK)
	>># su www >>$ whoami >>www > > >попробуй так: su - www Попробовал. Результат не изменился. Да, в предыдущем сообщении не указал опции ядра, вот они: device bpf options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=300
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх