Pages : 1
#1 Le 18/09/2005, à 16:18
- bersace
Filtrer les connection par utilisateurs
Bonjour,
J'essai désespérément de configurer Shorewall pour qu'il ne permette qu'à un seul groupe d'avoir accès au net.
Déjà, il semble que shorewall aie une bogue dans la gestion des usersets. Il confond usersets et uid/gid. Bref, je préfère me restreindre à utilise les gid.
Ensuite, je me suis orienté vers une solution de la forme :
- Je bloque tout de fw -> net.
- J'accepte tout de fw -> net pour le groupe net.
ça donne pour /etc/shorewall/policy :
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
$FW net DROP infoEt pour /etc/shorewall/rules
#action source dest proto dest_port source_port original_dest rate_limit user/group
ACCEPT $FW net all - - - - :netBah,je pige pas ce qui ne vas pas, mais en tout les cas, ça ne marche pas.
Comment faites-vous ?
Verso l'Alto !
Hors ligne
#2 Le 18/09/2005, à 16:22
- bersace
Re : Filtrer les connection par utilisateurs
Il semble que la bogue sur les gid/usersets soit résolue dans le shorewall de breezy (shorewall 2.2).
Verso l'Alto !
Hors ligne
#3 Le 18/09/2005, à 16:44
- bersace
Re : Filtrer les connection par utilisateurs
Je confirme, avec shorewall 2.0 ou 2.2, ça ne marche pas.
Verso l'Alto !
Hors ligne
#4 Le 18/09/2005, à 16:45
- bersace
Re : Filtrer les connection par utilisateurs
Aahh !! on peut le faire utilisateurs par utilisateurs, mais il semble que par groupe, ça ne marche pas !
Verso l'Alto !
Hors ligne
#5 Le 18/09/2005, à 20:19
- bersace
Re : Filtrer les connection par utilisateurs
Bon, en fait, iptables ne peut tester qu'uid et le gid du processus qui demande un accès au réseau. Donc on ne peux tester qu'un uid ou un gid primaire.
Par exemple, c'est impossible de ne permettre l'accès qu'au groupe admin, car c'est un groupe secondaire. On ne peut donc pas contourner la bogue dans la gestion des usersets de shorewall.
J'ai fait un rapport de bug : http://bugzilla.ubuntu.com/show_bug.cgi?id=15733
On verra ce que ça donnera 
Verso l'Alto !
Hors ligne