View previous topic :: View next topic |
Author |
Message |
v7n Guru
Joined: 24 Jan 2006 Posts: 352
|
Posted: Wed Jan 17, 2007 7:41 pm Post subject: [SOLVED][iptables] dostęp tylko do 1 strony dla danego user |
|
|
Nie mam żadnego firewalla na desktopie i nigdy mi się z nim nie spieszyło. Ale denerwuje mnie już jak matka prosi, żebym sprawdził jakie ma saldo. Dlatego proszę proszę o jakieś wskazówki.
Matka ma własne konto w systemie ( mocno ograniczone, ale co tam ). Chcę jej dodać do fluxboxowego menu firefoxa i stworzyć małe howto jak samodzielnie sprawdzić saldo ( chyba zrobie to jaki lokalny html ). Nie chcę się bawić w profile w ff, jakoś mu nie ufam [-; dlatego pomyślałem, czy nie da się tego zrobić na firewallu. Jakaś regułka, która pozwoli danemu userowi ( np. 'mama' ) dostęp firefoxem tylko do jednego serwera ( np 'bank.com' ). Reszta stron ma być blokowana.
Ktoś zaproponuje jakiegoś hinta? Lektura mana jeszcze przede mną a nie mam siły przebijać się przez tyle stron. _________________ /~x86 /*-sources /oss /zsh /urxvt /vim /openbox /rox /xmms /Opera
Last edited by v7n on Thu Jan 18, 2007 5:57 pm; edited 4 times in total |
|
Back to top |
|
|
bartmarian Guru
Joined: 28 Nov 2005 Posts: 557
|
Posted: Wed Jan 17, 2007 8:08 pm Post subject: |
|
|
Code: | #Odrzucamy wszystko
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
#Akceptujemy wszystkie pakiety ktore naleza do juz ustanowionych sesji
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -d mama.mowi.bankowy.ip/32 -j ACCEPT
echo "Kocham Cie Mamo, ale netu nie dostaniesz" |
|
|
Back to top |
|
|
v7n Guru
Joined: 24 Jan 2006 Posts: 352
|
Posted: Wed Jan 17, 2007 8:40 pm Post subject: |
|
|
Nie jestem super biegły w iptables i jeśli czegoś nie zrozumiałem, to nie bij, ale chodzi o to, że jest sobie desktop - korzystam z niego ja i matka ( i czasem pies sąsiada, ale to już można olać, żeby uprościć sytuację (-; ). Ja nie chcę być niczym blokowany , natomiast matka ma być blokowana w taki sposób, że fifrefoxem ma mieć dostęp do www.bank.com - reszta stron ma być niedostępna.
Z Twoich regułek wynika, że blokujemy wszystko, potem dajemy dostęp tylko do www.bank.com - fajnie, ale to jest 'systemwide' a ja potrzebuje coś dla konkretnego usera. Podkreślę jeszcze raz - tylko 'mama' ma być w jakiklwiek sposób blokowane, reszta ma być.. hmm.. wolna
W międzyczasie znalazłem coś w man - rozdział/dział 'owner' - może to da się jakoś zastosować? _________________ /~x86 /*-sources /oss /zsh /urxvt /vim /openbox /rox /xmms /Opera |
|
Back to top |
|
|
tokoloshe Tux's lil' helper
Joined: 11 Jul 2003 Posts: 116
|
Posted: Wed Jan 17, 2007 10:37 pm Post subject: |
|
|
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -d ip_banku -m owner --uid-owner id_uzytkownika_mama -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp -m owner --uid-owner id_uzytkownika_mama -m state --state NEW -j DROP |
|
Back to top |
|
|
PsychoX n00b
Joined: 17 Nov 2006 Posts: 70
|
Posted: Thu Jan 18, 2007 10:44 am Post subject: |
|
|
Możesz dodać sobie do logowania dodać skrypt który będzie automatycznie ustawiał iptables dla danego usera...
Code: |
#!/bin/bash
#Czyszczenie tablic
iptables -F
|
a następnie to co podał bartmarian:
Code: |
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
#Akceptujemy wszystkie pakiety ktore naleza do juz ustanowionych sesji
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -d mama.mowi.bankowy.ip/32 -j ACCEPT
echo "Kocham Cie Mamo, ale netu nie dostaniesz"
|
a gdy Ty się logujesz:
Code: |
#!/bin/bash
#Czyszczenie tablic
iptables -F
iptables -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
|
wrzucasz sobie coś takiego do bodajże
Code: |
/home/Ty/.kde/Autostart/
|
Chociaż przyznaje, że metoda tokoloshe jest najlepsza |
|
Back to top |
|
|
v7n Guru
Joined: 24 Jan 2006 Posts: 352
|
Posted: Thu Jan 18, 2007 2:48 pm Post subject: |
|
|
w sumie na odpalanie iptables podczas logowania usera nie wpadłem, ale wtedy bym musiał się jeszcze pobawić sudo czy coś podobnego.
@tokoloshe thx za wskazówkę, teraz powinien już sobie poradzić _________________ /~x86 /*-sources /oss /zsh /urxvt /vim /openbox /rox /xmms /Opera |
|
Back to top |
|
|
|