[Comm] Отключение пользователя от сети

[Comm] Отключение пользователя от сети

[Andrei Lomov]

Нужно запретить пользователю получать/посылать пакеты 
по конкретному интерфейсу eth1.
Как это обычно делается (ALM 2.4)? 

Спасибо
-- 
Всего доброго,
А.Л.

Re: [Comm] Отключение пользователя от сети

[Kostarev Alexey]

[-- Attachment #1: Type: text/plain, Size: 547 bytes --]

Andrei Lomov wrote:

>Нужно запретить пользователю получать/посылать пакеты 
>по конкретному интерфейсу eth1.
>Как это обычно делается (ALM 2.4)? 
>
>  
>
Вообще никогда такого не делал, но теоретически должна помочь программа 
iptables:
iptables -m owner -I OUTPUT -o eth1 --uid-owner <UID-пользователя> -j DROP

Правда в документа ции указано, что часть пакетов (например типа icmp 
(ping)) не имеют пользователя
и не фильтруются данным правилом, но для фильтрации UDP/TCP-трафика 
может помочь...

>Спасибо
>  
>
-- 
С Уважением
Костарев А.Ф.


[-- Attachment #2: kaf.vcf --]
[-- Type: text/x-vcard, Size: 202 bytes --]

begin:vcard
fn:Alexey Kostarev
n:Kostarev;Alexey
org:Nevod Ltd.
adr:;;;Perm;;;Russia
email;internet:kaf@nevod.ru
tel;work:(3422) 196-960 
url:http://www.nevod.ru/nevod/staff/kaf/
version:2.1
end:vcard

Re: [Comm] Отключение пользователя от сети

[Olvin]

Kostarev Alexey wrote:
>> Нужно запретить пользователю получать/посылать пакеты по конкретному 
>> интерфейсу eth1.
>> Как это обычно делается (ALM 2.4)?
> Вообще никогда такого не делал, но теоретически должна помочь программа 
> iptables:
> iptables -m owner -I OUTPUT -o eth1 --uid-owner <UID-пользователя> -j DROP
> Правда в документа ции указано, что часть пакетов (например типа icmp 
> (ping)) не имеют пользователя
> и не фильтруются данным правилом, но для фильтрации UDP/TCP-трафика 
> может помочь...

Реально помогает. А для ping делается control ping netadmin, и всё.
Была та же проблема - пускать в инет только тех домашних, кто платил.

Re: [Comm] Отключение пользователя от сети

[ABATAPA]

1 сентября 2006 14:54, Olvin написал:
> Была та же проблема - пускать в инет только тех домашних, кто платил.
Эээээ.... "Домашние" - это семья!? Вы с них деньги берете?! :)
Лицензия на оказание услуг связи, телематику и передачу данных есть? ;)
-- 
ABATAPA

Re: [Comm] Отключение пользователя от сети

[Andrei Lomov]

Kostarev Alexey wrote:

> iptables -m owner -I OUTPUT -o eth1 --uid-owner <UID-пользователя> -j DROP

-i eth1 
не надо добавлять?

-- 
Всего доброго,
А.Л.

Re: [Comm] Отключение пользователя от сети

[Dmitriy L. Kruglikov]

На календаре было: Пятница, 01 Сентября 2006 года,
Andrei Lomov писал(а) в сообщении: 

AL > -i eth1 
AL > не надо добавлять?
А кто является владельцем пакета, входящего из внешней сети на интерфейс eth1 ?
Злобный хацкер?
Я б тогда написал .... :)



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Были когда-то и вы рысаками.
		-- А.Н.Апухтин

Re: [Comm] Отключение пользователя от сети

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 451 bytes --]

* Andrei Lomov <a.lomov@> [060901 17:37]:
> > iptables -m owner -I OUTPUT -o eth1 --uid-owner <UID-пользователя> -j DROP
> -i eth1 
> не надо добавлять?
-m owner работает только в OUTPUT.  -i работает только в INPUT и
FORWARD.  Т.е. они накогда не встречаются ;-)

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
  Inform-Mobil, Ltd. System Administrator
       http://www.inform-mobil.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Отключение пользователя от сети

[Alexander Yereschenko]

В сообщении от Пятница, 01-Сен-2006 16:58 Alexey I. Froloff написал(a):
> * Andrei Lomov <a.lomov@> [060901 17:37]:
> > > iptables -m owner -I OUTPUT -o eth1 --uid-owner <UID-пользователя> -j
> > > DROP
> >
> > -i eth1
> > не надо добавлять?
>
> -m owner работает только в OUTPUT.  -i работает только в INPUT и
> FORWARD.  Т.е. они накогда не встречаются ;-)

-m owner , как я понял, работает только для пакетов, порожденных локальными 
пользователями, ибо как еще можно узнать "автора"? :)  Отсюда и все 
остальное...

-- 

Alexander

Re: [Comm] Отключение пользователя от сети

[Olvin]

ABATAPA wrote:
>>Была та же проблема - пускать в инет только тех домашних, кто платил.
> Эээээ.... "Домашние" - это семья!? Вы с них деньги берете?! :)
> Лицензия на оказание услуг связи, телематику и передачу данных есть? ;)

Нет, просто я не могу платить за превышенный трафик (т.е. за то, что не 
включен в абонплату). А качать хотят все. И много :) Вот и пускаю не 
напрямую, а  через squid, чтобы было видно, кто сколько налазил :)

Re: [Comm] Отключение пользователя от сети

[Kostarev Alexey]

[-- Attachment #1: Type: text/plain, Size: 1394 bytes --]

Olvin wrote:

>ABATAPA wrote:
>  
>
>>>Была та же проблема - пускать в инет только тех домашних, кто платил.
>>>      
>>>
>>Эээээ.... "Домашние" - это семья!? Вы с них деньги берете?! :)
>>Лицензия на оказание услуг связи, телематику и передачу данных есть? ;)
>>    
>>
>
>Нет, просто я не могу платить за превышенный трафик (т.е. за то, что не 
>включен в абонплату). А качать хотят все. И много :) Вот и пускаю не 
>напрямую, а  через squid, чтобы было видно, кто сколько налазил :)
>_______________________________________________
>  
>
iptables удобно использовать, когда USER работает напрямую (без squid).

Если пользователь работает через SQUID, то проще его 
ограничивать/выключать средствами squid -
включив в него авторизацию.

Кстати я уже года два использую продукт моих земляков - sams: 
http://sams.perm.ru/ - рекомендую
(кстати - возможно ли включение данного пакета в дистрибутив?)
Довольно грамотный WEB-интерфейс и настройка на различные режимы работы.

Если же вы пытаетесь через iptables закрыть доступ пользователей к squid,
то здесь лучше ориентироваться не на интерфейс (eth1), а на входной порт 
squid (по умолчанию 3128)
iptables -m owner -I OUTPUT -p tcp -d 0.0.0.0 --dport 3128 --uid-owner 
<UID-пользователя> -j DROP



>Community mailing list
>Community@lists.altlinux.org
>https://lists.altlinux.org/mailman/listinfo/community
>


-- 
С Уважением
Костарев А.Ф.


[-- Attachment #2: kaf.vcf --]
[-- Type: text/x-vcard, Size: 202 bytes --]

begin:vcard
fn:Alexey Kostarev
n:Kostarev;Alexey
org:Nevod Ltd.
adr:;;;Perm;;;Russia
email;internet:kaf@nevod.ru
tel;work:(3422) 196-960 
url:http://www.nevod.ru/nevod/staff/kaf/
version:2.1
end:vcard

Re: [Comm] Отключение пользователя от сети

[Olvin]

Kostarev Alexey wrote:
>>>> Была та же проблема - пускать в инет только тех домашних, кто платил.
>>> Эээээ.... "Домашние" - это семья!? Вы с них деньги берете?! :)
>>> Лицензия на оказание услуг связи, телематику и передачу данных есть? ;)
>> Нет, просто я не могу платить за превышенный трафик (т.е. за то, что 
>> не включен в абонплату). А качать хотят все. И много :) Вот и пускаю 
>> не напрямую, а  через squid, чтобы было видно, кто сколько налазил :)
> iptables удобно использовать, когда USER работает напрямую (без squid).

iptables закрывает для пользователя всё, кроме squid'а, а на нём уже по 
логину и паролю.

> Кстати я уже года два использую продукт моих земляков - sams: 
> http://sams.perm.ru/ - рекомендую
> (кстати - возможно ли включение данного пакета в дистрибутив?)
> Довольно грамотный WEB-интерфейс и настройка на различные режимы работы.

Спасибо за ссылку. Посмотрю. Скорее всего, удобнее моих теперешних 
средств :)

Re: [Comm] Отключение пользователя от сети

[Andrey]

Olvin пишет:

>Kostarev Alexey wrote:
>  
>
>>>>>Была та же проблема - пускать в инет только тех домашних, кто платил.
>>>>>          
>>>>>
>>>>Эээээ.... "Домашние" - это семья!? Вы с них деньги берете?! :)
>>>>Лицензия на оказание услуг связи, телематику и передачу данных есть? ;)
>>>>        
>>>>
>>>Нет, просто я не могу платить за превышенный трафик (т.е. за то, что 
>>>не включен в абонплату). А качать хотят все. И много :) Вот и пускаю 
>>>не напрямую, а  через squid, чтобы было видно, кто сколько налазил :)
>>>      
>>>
>>iptables удобно использовать, когда USER работает напрямую (без squid).
>>    
>>
>
>iptables закрывает для пользователя всё, кроме squid'а, а на нём уже по 
>логину и паролю.
>
>  
>
>>Кстати я уже года два использую продукт моих земляков - sams: 
>>http://sams.perm.ru/ - рекомендую
>>(кстати - возможно ли включение данного пакета в дистрибутив?)
>>Довольно грамотный WEB-интерфейс и настройка на различные режимы работы.
>>    
>>
>
>Спасибо за ссылку. Посмотрю. Скорее всего, удобнее моих теперешних 
>средств :)
>_______________________________________________
>Community mailing list
>Community@lists.altlinux.org
>https://lists.altlinux.org/mailman/listinfo/community
>

Самс это хорошо но ta billing для таких целей  тож подойдет да и 
ставится быстро.
А живёт он тута     http://traflinux.sourceforge.net/

Re: [Comm] Отключение пользователя от сети

[Vyatcheslav Perevalov]

В сообщении от 1 сентября 2006 21:05 Alexander Yereschenko написал(a):

> -m owner , как я понял, работает только для пакетов, порожденных локальными
> пользователями, ибо как еще можно узнать "автора"? :)  Отсюда и все
> остальное...
Совершенно верно, я таким образом дочери выход в инет ограничиваю, когда плохо 
себя ведёт.

-- 
/vip

Re: [Comm] Отключение пользователя от сети

[ABATAPA]

6 сентября 2006 20:04, Vyatcheslav Perevalov написал:
> Совершенно верно, я таким образом дочери выход в инет ограничиваю, когда
> плохо себя ведёт.

Жаль вот только, что "pid, sid and command matching not supported anymore". 8(
-- 
ABATAPA

Re: [Comm] Отключение пользователя от сети

[Olvin]

ABATAPA wrote:
>>Совершенно верно, я таким образом дочери выход в инет ограничиваю, когда
>>плохо себя ведёт.
> Жаль вот только, что "pid, sid and command matching not supported anymore". 8(

А как этими критериями толково пользоваться?

Re: [Comm] Отключение пользователя от сети

[ABATAPA]

7 сентября 2006 20:16, Olvin написал:
> А как этими критериями толково пользоваться?
Как? Теперь уже никак.
А возможных применений много. Например, при подключении через GPRS можно было 
бы разрешать доступ в Сеть только нужным приложениям (по PIDу, или match 
name) - licq, firefox, и т.д. - для того, чтобы приложения, которые имеют 
привычку лазить в Сеть этого делать не могли, и чтобы при этом настройки этих 
приложений не менять (например, компьютер может использоваться как 
с "дешевым" подключением, так и с GPRS, и переключать "туда-сюда", например, 
настройки 20 программ...). 
Разве не использование?
-- 
ABATAPA

Re: [Comm] Отключение пользователя от сети

[Olvin]

ABATAPA wrote:
>>А как этими критериями толково пользоваться?
> Как? Теперь уже никак.
> А возможных применений много. Например, при подключении через GPRS можно было 
> бы разрешать доступ в Сеть только нужным приложениям (по PIDу, или match 
> name) - licq, firefox, и т.д. - для того, чтобы приложения, которые имеют 

Т.е. вручную узнать PID и вручную перенастроить firewall?! Хм... не, мне 
это не надо :)

Re: [Comm] Отключение пользователя от сети

[ABATAPA]

7 сентября 2006 22:49, Olvin написал:
> Т.е. вручную узнать PID и вручную перенастроить firewall?! Хм... не, мне
> это не надо :)
Вот тогда бы и появились оболочки, благо, все остальное уже есть.
Вам не надо, но это не значит, что не нужно другим. А посты "не, мне
это не надо" напоминают комментарии на LORе в стиле "в топку".
-- 
ABATAPA

Re: [Comm] Отключение пользователя от сети

[Olvin]

ABATAPA wrote:
>>Т.е. вручную узнать PID и вручную перенастроить firewall?! Хм... не, мне
>>это не надо :)
> Вот тогда бы и появились оболочки, благо, все остальное уже есть.
> Вам не надо, но это не значит, что не нужно другим. А посты "не, мне
> это не надо" напоминают комментарии на LORе в стиле "в топку".

Мда... На смайлик внимание, конечно, не обратили.

Кстати, насчёт оболочек. В этом случае, конечно, не так плохо. Только 
получается, что обслуживать файрвол должна будет именно эта оболочка. 
Потому как в ином случае могут всплыть неочевидные глюки (в случае 
нетривиальной настройки файрвола). Или и здесь есть простое решение?

Re: [Comm] Отключение пользователя от сети

[ABATAPA]

8 сентября 2006 18:17, Olvin написал:
> Кстати, насчёт оболочек. В этом случае, конечно, не так плохо. Только
> получается, что обслуживать файрвол должна будет именно эта оболочка.
> Потому как в ином случае могут всплыть неочевидные глюки (в случае
> нетривиальной настройки файрвола). Или и здесь есть простое решение?
Не знаю. Я всего лишь посетовал о прекращении поддержки таких, на мой взгляд, 
нужных опций...
-- 
ABATAPA