#1 17.03.2015 11:45:36

AntiduPb
Administrator
Зарегистрирован: 12.01.2014
Сообщений: 166
IP-адрес

В iptables не работает модуль owner

Приветствую всех!

Исходные данные: Debian Wheezy
[console]# uname -a
Linux debian-ltsp 3.16.0-0.bpo.4-amd64 #1 SMP Debian 3.16.7-ckt4-3~bpo70+1 (2015-02-12) x86_64 GNU/Linux
[/console]работает LTSP сервером.

Задача: разрешить ходить в интернет пользователю root и пользователю admin. Остальным доступ только в локальную сеть.

Решение: блокировать пользователей по UID с помощью iptables и модуля owner.
[console]# iptables -A OUTPUT ! -d 192.168.0.0/16 -m owner --uid-owner 1001-1032 -j DROP[/console]

Проблема: не работает!

EPIC FAIL: а в Gentoo РАБОТАЕТ!

Вопрос: что я делаю не так??? И как заставить это работать в дебиане?

P.S. Я бы тут не спрашивал, если бы сам нагуглил или оно не работало-бы и в Gentoo(тогда бы дальше искал косяки). Но в Gentoo работает а Google ничего не говорит :(

Заранее спасибо!

#2 17.03.2015 12:01:07

Bif
Administrator
Зарегистрирован: 10.11.2012
Сообщений: 239
IP-адрес

В iptables не работает модуль owner

У меня так работает


iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner postfix -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner root -j ACCEPT


Возможно не работает диапазон --uid-owner 1001-1032, надо попробовать так --uid-owner 1001

#3 17.03.2015 12:11:50

drBatty
Administrator
Зарегистрирован: 20.02.2010
Сообщений: 17 053
IP-адрес

В iptables не работает модуль owner

Quote by AntiduPb
Вопрос: что я делаю не так???

надо разрешить админу и запретить всем остальным.

#4 17.03.2015 12:18:51

i2ks
Administrator
Зарегистрирован: 20.02.2010
Сообщений: 6 797
IP-адрес

В iptables не работает модуль owner

Quote by AntiduPb
EPIC FAIL: а в Gentoo РАБОТАЕТ!
А у вас модуль ipt_owner и xt_owner в ядре присутсвует?

#5 17.03.2015 12:38:28

AntiduPb
Administrator
Зарегистрирован: 12.01.2014
Сообщений: 166
IP-адрес

В iptables не работает модуль owner

Все разобрался. ВСЕМ БОЛЬШОЕ СПАСИБО!
Проблема была в том что эти правила в Gentoo отрабатывают на все пакеты, как и должны, а в дебиане отрабатывают только на tcp и не реагируют на icmp(примочка дебиана, как оказалось). А я проверял: ping ya.ru
Проверил в браузере все работает.
Всем еще раз спасибо! Извиняюсь за беспокойство :)

Board footer