Mit IPTABLES einen User "einsperren"

[IINeOII]

Hi leute ich habe folgendes problem,

ich versuche seit einiger Zeit einen User (am client) so weit einzuschränken das er nicht aufs internet zugreifen kann, sondern nur auf den server.

quwasi soll er den server einwandfrei erreichen können aber nicht das i-net

so meine frage:

Giebt es möglichkeiten außer iptables (mit denen krieg ichs nich hin) einen User auf ein Bestimmtes Interface zu binden z.b. vm auf eth0:0 mit ip 192.168.1.2 am servert bräuchte ich dann nurnoch das i-face eth0:0 192.168.1.1 und könnte den rest über iptables steuern, hat jemand ne idee hab schon rum gegoogelt finde aber nix.

[Beforegod]

Läuft der Zugriff aus Internet über nen Proxy oder über NAT?

[IINeOII]

über NAT mit postrouting fürs subnet

[toskala]

also wenn man iptables mich nicht anlügt kann es sowas wohl.

[IINeOII]

Jo ich kenne das schon habs auch mit owner match probiert aber irgendwie will das nich so wirklich weil wenn ich bsp:

owner vm wird umgeleitet nach 192.168.1.1
dies ist die addresse des alias interfaces eth0:0 aufm server

die packete kommen jetzt zwar nicht mehr ins i-net aber der user kann auch nicht mehr mit dem server kommuniziern schätze das liegt daran das er keine antwort erhalten kann weil der server denkt die ip packete kommen weiterhin von 192.168.0.2 was sie ja auch tun, sowas in der richtung halt bin grad verwirrt

[ruth]

hi,
geht doch aber ned so out-of-the-box...hihi
schau mal hier:

[henri]

Hi Ruth,

da Du hier von Patch-o-matic redest und ich bisher auf meine Frage, wie man patch-o-matic am besten mit Gentoo verwendet noch keine Antwort bekommen habe, frag ich einfach mal Dich

Wie verwendest Du denn patch-o-matic mit gentoo? Installierst Du iptables dann manuell (ohne emerge)?
Und wenn ja, wie verhinderst Du ein automatisches Update ohne jedes Mal, wenn eine neue Iptables Version in portage auftaucht, diese zu maskieren? - Ich denke, das wäre notwendig, da patch-o-matic ja auch die Sourcen von Iptables benötigt. Oder liege ich da falsch?

Wäre nett, wenn Du (Nicht nur mir ) diese Frage beantworten könntest.

Mit freundlichem Gruss,
Henri

[moe]

[TheSmallOne]

-–- gelöscht -–-

[Anarcho]

[slick]

@ IINeOII

Also ich habe das richtig verstanden wenn es um einen "Multi-User-Client" bei dem alle User außer User X ins Internet dürfen. Oder geht es evt. doch darum das ein kompletter Client nicht ins Internet darf, die anderen Clients aber schon.

Wenn das erste Szenario, dann finde ich auch das Post von TheSmallOne sehr passend.

[Ragin]

Sollte es das Szenario sein, dass du einfach nur einen anderen PC nicht im Internet frei geben willst kannst du ja die IP Adresse einfach blocken oder generell (je nachdem, wie groß dein Netzwerk ist) nur bestimmte IP-Adressen für das Internet freigeben.
_________________
"Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird."

Clifford Stoll, amerik. Astrophysiker u. Computer- Pionier

[ro]

zB:

iptables -A OUTPUT -m owner --uid-owner $USERID -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j REJECT

ist natürlich nicht komplett, aber ne kleine quick'n'dirty lösung.
_________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.

[TheSmallOne]

-–- gelöscht -–-

[reptile]

oder er hat sich jetzt komplett selbst aus dem internet ausgesperrt

[henri]

[slick]

Also wenns um Patchen "während" des emerge geht habe ich einen "Workaround"... nach dem entpacken und patchen der Quellen (durch emerge) schnell STRG + Z drücken um den Prozess einzufrosten, dann die Quellen in /var/tmp/portage/... entsprechend patchen und dann mit dem Befehl "fg 1" den Prozess weiter machen lassen. Obwohl es hier im Forum sicher einige andere Alternativen gibt.