Interdire à un user l'acces WAN (et la n par la même occasion)

Le
Qu'est ce qu'elle a ma gueule ?
Bonjour

Je veux creer un compte et un groupe spécifique pour interdire l'acces
à internet (et possibilité d'étendre au reseau local).

Je ne souhaite pas bloquer tous les utilisateurs de la machine.

Comment faire pour parametrer le groupe ?

Merci de vos lumieres
--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
at
Le #23661861
Qu'est ce qu'elle a ma gueule ? a formulé ce mercredi :

Bonjour

Je veux creer un compte et un groupe spécifique pour interdire l'acces
à internet (et possibilité d'étendre au reseau local).

Je ne souhaite pas bloquer tous les utilisateurs de la machine.

Comment faire pour parametrer le groupe ?

Merci de vos lumieres



Avec IPTABLES, j'ai cherché pour toi,

je copie colle

================================== http://forum.ubuntu-fr.org/viewtopic.php?id“497



...place ce qui suite dans le fichier /etc/rc.local

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

===================================
C'est une réponse partielle mais c'est une bonne piste.
Qu'est ce qu'elle a ma gueule ?
Le #23662271
On Wed, 17 Aug 2011 21:50:14 +0200, at
Avec IPTABLES, j'ai cherché pour toi,



j'ai cherche pas mal de temps, mais la seulesr ègle iptable ne
fonctionnait pas.

je copie colle

================================== >http://forum.ubuntu-fr.org/viewtopic.php?id“497



...place ce qui suite dans le fichier /etc/rc.local

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

=================================== >
C'est une réponse partielle mais c'est une bonne piste.



Super ça fonctionne déjà en ligne de commande
Je peux adapter pour un groupe

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.

figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)


--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
at
Le #23662601
Qu'est ce qu'elle a ma gueule ? avait soumis l'idée :

Super ça fonctionne déjà en ligne de commande
Je peux adapter pour un groupe

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.



Je suis loin d'être un cador :) mais moi j'utilise un script placé dans
/etc/init.d/
Je ne sais pas si c'est la meilleur solution mais ça me convient.

figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)



tout le monde (ou presque) est passé par là :(
Vincent Verdon
Le #23663171
Bonjour,

Le 17/08/2011 23:11, Qu'est ce qu'elle a ma gueule ? a écrit :


Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.

figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)



Le mieux à mon avis est de placer les règles iptables dans un script et
de faire exécuter celui-ci au démarrage de la machine.

Amicalement, Vincent Verdon
Pascal Hambourg
Le #23663951
Salut,

Qu'est ce qu'elle a ma gueule ? a écrit :

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited



Super ça fonctionne déjà en ligne de commande



Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par?



C'est spécifique à la distribution et/ou à l'outil de gestion des règles
de filtrage installé (communément appelé "pare-feu").
Qu'est ce qu'elle a ma gueule ?
Le #23664101
On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg

Salut,

Qu'est ce qu'elle a ma gueule ? a écrit :

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited



Super ça fonctionne déjà en ligne de commande



Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...



ping www.google.fr ping: unknown host www.google.fr

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par?



C'est spécifique à la distribution et/ou à l'outil de gestion des règles
de filtrage installé (communément appelé "pare-feu").



Je sais pas.
Pas grave.

--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
Pascal Hambourg
Le #23664301
Qu'est ce qu'elle a ma gueule ? a écrit :
On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg

Qu'est ce qu'elle a ma gueule ? a écrit :
iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited



Super ça fonctionne déjà en ligne de commande


Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...



ping www.google.fr ping: unknown host www.google.fr



Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.
Qu'est ce qu'elle a ma gueule ?
Le #23664691
On Fri, 19 Aug 2011 00:45:27 +0200, Pascal Hambourg

Qu'est ce qu'elle a ma gueule ? a écrit :
On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg

Qu'est ce qu'elle a ma gueule ? a écrit :
iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited



Super ça fonctionne déjà en ligne de commande


Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...



ping www.google.fr ping: unknown host www.google.fr



Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.



effectivement avec l'IP google ça passe. (209.85.148.147)


--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
Pascal Hambourg
Le #23666311
Qu'est ce qu'elle a ma gueule ? a écrit :
On Fri, 19 Aug 2011 00:45:27 +0200, Pascal Hambourg

Qu'est ce qu'elle a ma gueule ? a écrit :
On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg
Qu'est ce qu'elle a ma gueule ? a écrit :
iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited



Super ça fonctionne déjà en ligne de commande


Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...


ping www.google.fr ping: unknown host www.google.fr


Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.



effectivement avec l'IP google ça passe. (209.85.148.147)



Avec une simple commande comme ping, on peut transmettre des
informations. Si cela constitue un problème, il vaudrait mieux en
interdire l'exécution par l'utilisateur en question.

A noter que la règle iptables ci-dessus affecte aussi les paquets
envoyés à la machine elle-même, ce qui n'était pas demandé. Pour
l'éviter, on peut ne prendre en compte que les paquets qui ne sont pas
émis par l'interface de loopback : ! -o lo
Publicité
Poster une réponse
Anonyme