Interdire à un user l'acces WAN (et la n par la même occasion)
9 réponses
Qu'est ce qu'elle a ma gueule ?
Bonjour
Je veux creer un compte et un groupe spécifique pour interdire l'acces
à internet (et possibilité d'étendre au reseau local).
Je ne souhaite pas bloquer tous les utilisateurs de la machine.
Comment faire pour parametrer le groupe ?
Merci de vos lumieres
--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
=================================== > C'est une réponse partielle mais c'est une bonne piste.
Super ça fonctionne déjà en ligne de commande Je peux adapter pour un groupe
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké et lut quelque par? La seule solution que je connais est de faire un iptables-save et restore.
figure toi que j'ai eu le maleur de faire un iptables -F et j'avais pas de backup. (heureusement j'ai un 2ieme pc avec la même config)
-- Le politiquement correct me fait gerber. « le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun) C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
On Wed, 17 Aug 2011 21:50:14 +0200, at <at@noemail.fr> wrote:
Avec IPTABLES, j'ai cherché pour toi,
j'ai cherche pas mal de temps, mais la seulesr ègle iptable ne
fonctionnait pas.
=================================== >
C'est une réponse partielle mais c'est une bonne piste.
Super ça fonctionne déjà en ligne de commande
Je peux adapter pour un groupe
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.
figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)
--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
=================================== > C'est une réponse partielle mais c'est une bonne piste.
Super ça fonctionne déjà en ligne de commande Je peux adapter pour un groupe
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké et lut quelque par? La seule solution que je connais est de faire un iptables-save et restore.
figure toi que j'ai eu le maleur de faire un iptables -F et j'avais pas de backup. (heureusement j'ai un 2ieme pc avec la même config)
-- Le politiquement correct me fait gerber. « le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun) C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
at
Qu'est ce qu'elle a ma gueule ? avait soumis l'idée :
Super ça fonctionne déjà en ligne de commande Je peux adapter pour un groupe
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké et lut quelque par? La seule solution que je connais est de faire un iptables-save et restore.
Je suis loin d'être un cador :) mais moi j'utilise un script placé dans /etc/init.d/ Je ne sais pas si c'est la meilleur solution mais ça me convient.
figure toi que j'ai eu le maleur de faire un iptables -F et j'avais pas de backup. (heureusement j'ai un 2ieme pc avec la même config)
tout le monde (ou presque) est passé par là :(
Qu'est ce qu'elle a ma gueule ? avait soumis l'idée :
Super ça fonctionne déjà en ligne de commande
Je peux adapter pour un groupe
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.
Je suis loin d'être un cador :) mais moi j'utilise un script placé dans
/etc/init.d/
Je ne sais pas si c'est la meilleur solution mais ça me convient.
figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)
Qu'est ce qu'elle a ma gueule ? avait soumis l'idée :
Super ça fonctionne déjà en ligne de commande Je peux adapter pour un groupe
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké et lut quelque par? La seule solution que je connais est de faire un iptables-save et restore.
Je suis loin d'être un cador :) mais moi j'utilise un script placé dans /etc/init.d/ Je ne sais pas si c'est la meilleur solution mais ça me convient.
figure toi que j'ai eu le maleur de faire un iptables -F et j'avais pas de backup. (heureusement j'ai un 2ieme pc avec la même config)
tout le monde (ou presque) est passé par là :(
Vincent Verdon
Bonjour,
Le 17/08/2011 23:11, Qu'est ce qu'elle a ma gueule ? a écrit :
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké et lut quelque par? La seule solution que je connais est de faire un iptables-save et restore.
figure toi que j'ai eu le maleur de faire un iptables -F et j'avais pas de backup. (heureusement j'ai un 2ieme pc avec la même config)
Le mieux à mon avis est de placer les règles iptables dans un script et de faire exécuter celui-ci au démarrage de la machine.
Amicalement, Vincent Verdon
Bonjour,
Le 17/08/2011 23:11, Qu'est ce qu'elle a ma gueule ? a écrit :
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.
figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)
Le mieux à mon avis est de placer les règles iptables dans un script et
de faire exécuter celui-ci au démarrage de la machine.
Le 17/08/2011 23:11, Qu'est ce qu'elle a ma gueule ? a écrit :
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké et lut quelque par? La seule solution que je connais est de faire un iptables-save et restore.
figure toi que j'ai eu le maleur de faire un iptables -F et j'avais pas de backup. (heureusement j'ai un 2ieme pc avec la même config)
Le mieux à mon avis est de placer les règles iptables dans un script et de faire exécuter celui-ci au démarrage de la machine.
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et donc ne marche pas avec les commandes qui ont le bit SUID comme ping, certaines versions de traceroute...
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké et lut quelque par?
C'est spécifique à la distribution et/ou à l'outil de gestion des règles de filtrage installé (communément appelé "pare-feu").
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par?
C'est spécifique à la distribution et/ou à l'outil de gestion des règles
de filtrage installé (communément appelé "pare-feu").
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et donc ne marche pas avec les commandes qui ont le bit SUID comme ping, certaines versions de traceroute...
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké et lut quelque par?
C'est spécifique à la distribution et/ou à l'outil de gestion des règles de filtrage installé (communément appelé "pare-feu").
Qu'est ce qu'elle a ma gueule ?
On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg wrote:
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et donc ne marche pas avec les commandes qui ont le bit SUID comme ping, certaines versions de traceroute...
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké et lut quelque par?
C'est spécifique à la distribution et/ou à l'outil de gestion des règles de filtrage installé (communément appelé "pare-feu").
Je sais pas. Pas grave.
-- Le politiquement correct me fait gerber. « le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun) C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par?
C'est spécifique à la distribution et/ou à l'outil de gestion des règles
de filtrage installé (communément appelé "pare-feu").
Je sais pas.
Pas grave.
--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et donc ne marche pas avec les commandes qui ont le bit SUID comme ping, certaines versions de traceroute...
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké et lut quelque par?
C'est spécifique à la distribution et/ou à l'outil de gestion des règles de filtrage installé (communément appelé "pare-feu").
Je sais pas. Pas grave.
-- Le politiquement correct me fait gerber. « le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun) C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
Pascal Hambourg
Qu'est ce qu'elle a ma gueule ? a écrit :
On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg wrote:
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et donc ne marche pas avec les commandes qui ont le bit SUID comme ping, certaines versions de traceroute...
Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par contre l'émission des paquets ICMP echo request se fait avec l'UID root. Essaie avec une adresse IP.
Qu'est ce qu'elle a ma gueule ? a écrit :
On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...
Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et donc ne marche pas avec les commandes qui ont le bit SUID comme ping, certaines versions de traceroute...
Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par contre l'émission des paquets ICMP echo request se fait avec l'UID root. Essaie avec une adresse IP.
Qu'est ce qu'elle a ma gueule ?
On Fri, 19 Aug 2011 00:45:27 +0200, Pascal Hambourg wrote:
Qu'est ce qu'elle a ma gueule ? a écrit :
On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg wrote:
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et donc ne marche pas avec les commandes qui ont le bit SUID comme ping, certaines versions de traceroute...
Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par contre l'émission des paquets ICMP echo request se fait avec l'UID root. Essaie avec une adresse IP.
effectivement avec l'IP google ça passe. (209.85.148.147)
-- Le politiquement correct me fait gerber. « le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun) C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
On Fri, 19 Aug 2011 00:45:27 +0200, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:
Qu'est ce qu'elle a ma gueule ? a écrit :
On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...
Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.
effectivement avec l'IP google ça passe. (209.85.148.147)
--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et donc ne marche pas avec les commandes qui ont le bit SUID comme ping, certaines versions de traceroute...
Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par contre l'émission des paquets ICMP echo request se fait avec l'UID root. Essaie avec une adresse IP.
effectivement avec l'IP google ça passe. (209.85.148.147)
-- Le politiquement correct me fait gerber. « le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun) C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
Pascal Hambourg
Qu'est ce qu'elle a ma gueule ? a écrit :
On Fri, 19 Aug 2011 00:45:27 +0200, Pascal Hambourg wrote:
Qu'est ce qu'elle a ma gueule ? a écrit :
On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg wrote:
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et donc ne marche pas avec les commandes qui ont le bit SUID comme ping, certaines versions de traceroute...
Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par contre l'émission des paquets ICMP echo request se fait avec l'UID root. Essaie avec une adresse IP.
effectivement avec l'IP google ça passe. (209.85.148.147)
Avec une simple commande comme ping, on peut transmettre des informations. Si cela constitue un problème, il vaudrait mieux en interdire l'exécution par l'utilisateur en question.
A noter que la règle iptables ci-dessus affecte aussi les paquets envoyés à la machine elle-même, ce qui n'était pas demandé. Pour l'éviter, on peut ne prendre en compte que les paquets qui ne sont pas émis par l'interface de loopback : ! -o lo
Qu'est ce qu'elle a ma gueule ? a écrit :
On Fri, 19 Aug 2011 00:45:27 +0200, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:
Qu'est ce qu'elle a ma gueule ? a écrit :
On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...
Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.
effectivement avec l'IP google ça passe. (209.85.148.147)
Avec une simple commande comme ping, on peut transmettre des
informations. Si cela constitue un problème, il vaudrait mieux en
interdire l'exécution par l'utilisateur en question.
A noter que la règle iptables ci-dessus affecte aussi les paquets
envoyés à la machine elle-même, ce qui n'était pas demandé. Pour
l'éviter, on peut ne prendre en compte que les paquets qui ne sont pas
émis par l'interface de loopback : ! -o lo
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et donc ne marche pas avec les commandes qui ont le bit SUID comme ping, certaines versions de traceroute...
Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par contre l'émission des paquets ICMP echo request se fait avec l'UID root. Essaie avec une adresse IP.
effectivement avec l'IP google ça passe. (209.85.148.147)
Avec une simple commande comme ping, on peut transmettre des informations. Si cela constitue un problème, il vaudrait mieux en interdire l'exécution par l'utilisateur en question.
A noter que la règle iptables ci-dessus affecte aussi les paquets envoyés à la machine elle-même, ce qui n'était pas demandé. Pour l'éviter, on peut ne prendre en compte que les paquets qui ne sont pas émis par l'interface de loopback : ! -o lo