Interdire à un user l'acces WAN (et la n par la même occasion)

Qu'est ce qu'elle a ma gueule ? a formulé ce mercredi :

Bonjour

Je veux creer un compte et un groupe spécifique pour interdire l'acces
à internet (et possibilité d'étendre au reseau local).

Je ne souhaite pas bloquer tous les utilisateurs de la machine.

Comment faire pour parametrer le groupe ?

Merci de vos lumieres

Avec IPTABLES, j'ai cherché pour toi,

je copie colle

================================== http://forum.ubuntu-fr.org/viewtopic.php?id“497



...place ce qui suite dans le fichier /etc/rc.local

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

===================================
C'est une réponse partielle mais c'est une bonne piste.

On Wed, 17 Aug 2011 21:50:14 +0200, at <at@noemail.fr> wrote:

Avec IPTABLES, j'ai cherché pour toi,

j'ai cherche pas mal de temps, mais la seulesr ègle iptable ne
fonctionnait pas.

je copie colle

================================== >http://forum.ubuntu-fr.org/viewtopic.php?id“497



...place ce qui suite dans le fichier /etc/rc.local

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

=================================== >
C'est une réponse partielle mais c'est une bonne piste.

Super ça fonctionne déjà en ligne de commande
Je peux adapter pour un groupe

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.

figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)


--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme

Qu'est ce qu'elle a ma gueule ? avait soumis l'idée :

Super ça fonctionne déjà en ligne de commande
Je peux adapter pour un groupe

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.

Je suis loin d'être un cador :) mais moi j'utilise un script placé dans
/etc/init.d/
Je ne sais pas si c'est la meilleur solution mais ça me convient.

figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)

tout le monde (ou presque) est passé par là :(

Bonjour,

Le 17/08/2011 23:11, Qu'est ce qu'elle a ma gueule ? a écrit :

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par? La seule solution que je connais est de faire un
iptables-save et restore.

figure toi que j'ai eu le maleur de faire un iptables -F et j'avais
pas de backup. (heureusement j'ai un 2ieme pc avec la même config)

Le mieux à mon avis est de placer les règles iptables dans un script et
de faire exécuter celui-ci au démarrage de la machine.

Amicalement, Vincent Verdon

Salut,

Qu'est ce qu'elle a ma gueule ? a écrit :

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

Super ça fonctionne déjà en ligne de commande

Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par?

C'est spécifique à la distribution et/ou à l'outil de gestion des règles
de filtrage installé (communément appelé "pare-feu").

On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:

Salut,

Qu'est ce qu'elle a ma gueule ? a écrit :

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

Super ça fonctionne déjà en ligne de commande

Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...

ping www.google.fr ping: unknown host www.google.fr

Comme tu as l'air de connaitre, les règle par defaut sont bien stocké
et lut quelque par?

C'est spécifique à la distribution et/ou à l'outil de gestion des règles
de filtrage installé (communément appelé "pare-feu").

Je sais pas.
Pas grave.

--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme

Qu'est ce qu'elle a ma gueule ? a écrit :

On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:

Qu'est ce qu'elle a ma gueule ? a écrit :

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

Super ça fonctionne déjà en ligne de commande

Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...

ping www.google.fr ping: unknown host www.google.fr

Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.

On Fri, 19 Aug 2011 00:45:27 +0200, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:

Qu'est ce qu'elle a ma gueule ? a écrit :

On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:

Qu'est ce qu'elle a ma gueule ? a écrit :

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

Super ça fonctionne déjà en ligne de commande

Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...

ping www.google.fr ping: unknown host www.google.fr

Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.

effectivement avec l'IP google ça passe. (209.85.148.147)


--
Le politiquement correct me fait gerber.
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme

Qu'est ce qu'elle a ma gueule ? a écrit :

On Fri, 19 Aug 2011 00:45:27 +0200, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:

Qu'est ce qu'elle a ma gueule ? a écrit :

On Thu, 18 Aug 2011 21:33:57 +0200, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:

Qu'est ce qu'elle a ma gueule ? a écrit :

iptables -m owner -I OUTPUT --uid-owner ton_user -j REJECT
--reject-with icmp-admin-prohibited

Super ça fonctionne déjà en ligne de commande

Avec l'inconvénient que ça considère l'utilisateur/groupe effectif et
donc ne marche pas avec les commandes qui ont le bit SUID comme ping,
certaines versions de traceroute...

ping www.google.fr ping: unknown host www.google.fr

Apparemment l'émission du paquet de requête DNS, qui n'a pas besoin de
privilèges particuliers, se fait avec l'UID réel de l'utilisateur. Par
contre l'émission des paquets ICMP echo request se fait avec l'UID root.
Essaie avec une adresse IP.

effectivement avec l'IP google ça passe. (209.85.148.147)

Avec une simple commande comme ping, on peut transmettre des
informations. Si cela constitue un problème, il vaudrait mieux en
interdire l'exécution par l'utilisateur en question.

A noter que la règle iptables ci-dessus affecte aussi les paquets
envoyés à la machine elle-même, ce qui n'était pas demandé. Pour
l'éviter, on peut ne prendre en compte que les paquets qui ne sont pas
émis par l'interface de loopback : ! -o lo