Forums Linux Autres OS Linux

Interdire à un user l'acces WAN (et la n par la même occasion)

Le mercredi 17 Août 2011 à 20:22

Qu'est ce qu'elle a ma gueule ?

Bonjour

Je veux creer un compte et un groupe spécifique pour interdire l'acces
à internet (et possibilité d'étendre au reseau local).

Je ne souhaite pas bloquer tous les utilisateurs de la machine.

Comment faire pour parametrer le groupe ?

Merci de vos lumieres
--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme

Partager ce contenu :

Vos réponses

Trier par : date / pertinence

Le 17/08/2011 à 21:50 #23661861

Qu'est ce qu'elle a ma gueule ? a formulé ce mercredi :

Bonjour

Je veux creer un compte et un groupe spécifique pour interdire l'acces
à internet (et possibilité d'étendre au reseau local).

Je ne souhaite pas bloquer tous les utilisateurs de la machine.

Comment faire pour parametrer le groupe ?

Merci de vos lumieres

Avec IPTABLES, j'ai cherché pour toi,

je copie colle

================================== http://forum.ubuntu-fr.org/viewtopic.php?id497

...place ce qui suite dans le fichier /etc/rc.local

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

===================================
C'est une réponse partielle mais c'est une bonne piste.

-1 Répondre en citant

Qu'est ce qu'elle a ma gueule ?

Le 17/08/2011 à 23:11 #23662271

On Wed, 17 Aug 2011 21:50:14 +0200, at

Avec IPTABLES, j'ai cherché pour toi,

j'ai cherche pas mal de temps, mais la seulesr ègle iptable ne
fonctionnait pas.

je copie colle

================================== >http://forum.ubuntu-fr.org/viewtopic.php?id497

...place ce qui suite dans le fichier /etc/rc.local

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

=================================== >
C'est une réponse partielle mais c'est une bonne piste.

Super ça fonctionne déjà en ligne de commande
Je peux adapter pour un groupe

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.

figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)

--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme

-1 Répondre en citant

Le 18/08/2011 à 07:29 #23662601

Qu'est ce qu'elle a ma gueule ? avait soumis l'idée :

Super ça fonctionne déjà en ligne de commande
Je peux adapter pour un groupe

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.

Je suis loin d'être un cador :) mais moi j'utilise un script placé dans
/etc/init.d/
Je ne sais pas si c'est la meilleur solution mais ça me convient.

figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)

tout le monde (ou presque) est passé par là :(

-1 Répondre en citant

Vincent Verdon

Le 18/08/2011 à 14:58 #23663171

Bonjour,

Le 17/08/2011 23:11, Qu'est ce qu'elle a ma gueule ? a écrit :

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.

figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)

Le mieux à mon avis est de placer les règles iptables dans un script et
de faire exécuter celui-ci au démarrage de la machine.

Amicalement, Vincent Verdon

-1 Répondre en citant

Pascal Hambourg

Le 18/08/2011 à 21:33 #23663951

Salut,

Qu'est ce qu'elle a ma gueule ? a écrit :

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

Super ça fonctionne déjà en ligne de commande

Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par?

C'est spécifique à la distribution et/ou à l'outil de gestion des règles
de filtrage installé (communément appelé "pare-feu").

-1 Répondre en citant

Qu'est ce qu'elle a ma gueule ?

Le 18/08/2011 à 22:21 #23664101

On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg

Salut,

Qu'est ce qu'elle a ma gueule ? a écrit :

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

Super ça fonctionne déjà en ligne de commande

Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...

ping www.google.fr ping: unknown host www.google.fr

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par?

C'est spécifique à la distribution et/ou à l'outil de gestion des règles
de filtrage installé (communément appelé "pare-feu").

Je sais pas.
Pas grave.

--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme

-1 Répondre en citant

Pascal Hambourg

Le 19/08/2011 à 00:45 #23664301

Qu'est ce qu'elle a ma gueule ? a écrit :

On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg

Qu'est ce qu'elle a ma gueule ? a écrit :

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

Super ça fonctionne déjà en ligne de commande

Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...

ping www.google.fr ping: unknown host www.google.fr

Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.

-1 Répondre en citant

Qu'est ce qu'elle a ma gueule ?

Le 19/08/2011 à 12:01 #23664691

On Fri, 19 Aug 2011 00:45:27 +0200, Pascal Hambourg

Qu'est ce qu'elle a ma gueule ? a écrit :

On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg

Qu'est ce qu'elle a ma gueule ? a écrit :

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

Super ça fonctionne déjà en ligne de commande

Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...

ping www.google.fr ping: unknown host www.google.fr

Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.

effectivement avec l'IP google ça passe. (209.85.148.147)

--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme

-1 Répondre en citant

Pascal Hambourg

Le 19/08/2011 à 23:46 #23666311

Qu'est ce qu'elle a ma gueule ? a écrit :

On Fri, 19 Aug 2011 00:45:27 +0200, Pascal Hambourg

Qu'est ce qu'elle a ma gueule ? a écrit :

On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg

Qu'est ce qu'elle a ma gueule ? a écrit :

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

Super ça fonctionne déjà en ligne de commande

Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...

ping www.google.fr ping: unknown host www.google.fr

Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.

effectivement avec l'IP google ça passe. (209.85.148.147)

Avec une simple commande comme ping, on peut transmettre des
informations. Si cela constitue un problème, il vaudrait mieux en
interdire l'exécution par l'utilisateur en question.

A noter que la règle iptables ci-dessus affecte aussi les paquets
envoyés à la machine elle-même, ce qui n'était pas demandé. Pour
l'éviter, on peut ne prendre en compte que les paquets qui ne sont pas
émis par l'interface de loopback : ! -o lo

-1 Répondre en citant

Poster une réponse