Interdire à un user l'acces WAN (et la n par la même occasion)
Le
Qu'est ce qu'elle a ma gueule ?

Bonjour
Je veux creer un compte et un groupe spécifique pour interdire l'acces
à internet (et possibilité d'étendre au reseau local).
Je ne souhaite pas bloquer tous les utilisateurs de la machine.
Comment faire pour parametrer le groupe ?
Merci de vos lumieres
--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
Je veux creer un compte et un groupe spécifique pour interdire l'acces
à internet (et possibilité d'étendre au reseau local).
Je ne souhaite pas bloquer tous les utilisateurs de la machine.
Comment faire pour parametrer le groupe ?
Merci de vos lumieres
--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
Avec IPTABLES, j'ai cherché pour toi,
je copie colle
================================== http://forum.ubuntu-fr.org/viewtopic.php?id497
...place ce qui suite dans le fichier /etc/rc.local
iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited
===================================
C'est une réponse partielle mais c'est une bonne piste.
j'ai cherche pas mal de temps, mais la seulesr ègle iptable ne
fonctionnait pas.
Super ça fonctionne déjà en ligne de commande
Je peux adapter pour un groupe
Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.
figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)
--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
Je suis loin d'être un cador :) mais moi j'utilise un script placé dans
/etc/init.d/
Je ne sais pas si c'est la meilleur solution mais ça me convient.
tout le monde (ou presque) est passé par là :(
Le 17/08/2011 23:11, Qu'est ce qu'elle a ma gueule ? a écrit :
Le mieux à mon avis est de placer les règles iptables dans un script et
de faire exécuter celui-ci au démarrage de la machine.
Amicalement, Vincent Verdon
Qu'est ce qu'elle a ma gueule ? a écrit :
Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...
C'est spécifique à la distribution et/ou à l'outil de gestion des règles
de filtrage installé (communément appelé "pare-feu").
ping www.google.fr ping: unknown host www.google.fr
Je sais pas.
Pas grave.
--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.
effectivement avec l'IP google ça passe. (209.85.148.147)
--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
Avec une simple commande comme ping, on peut transmettre des
informations. Si cela constitue un problème, il vaudrait mieux en
interdire l'exécution par l'utilisateur en question.
A noter que la règle iptables ci-dessus affecte aussi les paquets
envoyés à la machine elle-même, ce qui n'était pas demandé. Pour
l'éviter, on peut ne prendre en compte que les paquets qui ne sont pas
émis par l'interface de loopback : ! -o lo