Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 23/07/2010, à 13:41

corneliux

IPtables, suite et fin...

Re-bonjour,
Grâce à Rastatux, j'ai pu interdire le réseau à un utilisateur donné (utilisateur : "nonet") avec cette commande Iptables :

iptables -A OUTPUT -m owner --uid-owner nonet -j DROP

Mais j'avais oublié de préciser que j'utilisais le bureau à distance d'Ubuntu. Et avec cette ligne dans Iptables, ça me bloque la connection.

Sur le pc client (avec le logiciel "visionneur de bureau distant"), je vois qu'un ordi est accessible mais lorsque je veux y accéder, j'ai un écran noir.
N'ayant que quelques vagues connaissances d'Iptables, j'en appelle aux bonnes volontés pour me pondre la ligne miracle qui va autoriser le bureau à distance sans ouvrir les connections Internet à l'utilisateur "nonet"

Des volontaires ?

PS : J'ai lu les doc d'IPtables, et j'ai tenté plusieurs commandes. Mais entre le prerouting, le forward, le masquerade, et j'en passe et des meilleurs, je crois que j'ai encore pas mal de boulot avant de maitriser cet outil !

Blogger : http://www.corneliux.fr

Hors ligne

#2 Le 23/07/2010, à 14:45

unikpmc

Re : IPtables, suite et fin...

Tu as essayé d'appliquer ta règle d'interdiction à des règles "normales?
par exemple ça

iptables -A INPUT -p tcp --sport 6891 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6891 -j ACCEPT
iptables -A INPUT -p udp --sport 6891 -j ACCEPT
iptables -A OUTPUT -p udp --dport 6891 -j ACCEPT

devient ça:

iptables -A INPUT -m owner --uid-owner nonet -p tcp --sport 6891 -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner nonet -p tcp --dport 6891 -j ACCEPT
iptables -A INPUT -m owner --uid-owner nonet -p udp --sport 6891 -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner nonet -p udp --dport 6891 -j ACCEPT

Parce que finalement, avec ça en 1er
iptables -A OUTPUT -m owner --uid-owner nonet -j DROP
tu interdis tout à l'user nonet
ensuite, suffit de n'autoriser qu'un port en entrée et sortie, pour l'udp et le tcp (enfin tu fais comme tu veux lol pour les protocoles wink )

Dernière modification par unikpmc (Le 23/07/2010, à 14:48)

Laptop: Natty 64 - Win7 // Serveur: Lucid 64 - Win7 // Netbook: Lucid 32 - Win7
Ubuntu user since 2004

Hors ligne

Pages : 1