Запрет на выход в локальную сеть

[anubis_donetsk]

На серваке убейте smb-client или же закройте фаером 139 и 445 порты

[Lord Vampire]

На серваке убейте smb-client или же закройте фаером 139 и 445 порты

smb-client уже убит, но по-прежнему заходит в сеть. Порты я зыкрывал, тоже не помогает. Хотя сейчас попробую чуть по-другому сделать.
Пользователь решил продолжить мысль 25 Июня 2013, 15:45:12:

Как я уже говорил, я сделал терминальный сервер для доступа в интернет. Надо не дать пользователям кидать скачанные файлы в сеть.

А, вспомнил ваш прошлый топик.

Проблема решается тем же способом:

2) дропнуть исходящий трафик, если юзер не root/squid/etc.

Попробовал вот так iptables -A OUTPUT -m owner --uid-owner 1000 правило применилось. Выходит как в сеть так и в интернет. Что-то я не так сделал -_-

[ArcFi]

Если я так дропну исходящий трафик, разве не накроется и интернет тоже? ведь он идет под тем же уидом юзера

Они же у вас работают через squid, который запускается под root/squid.
В чём проблема-то?

[fisher74]

(Нажмите, чтобы показать/скрыть)

Простите меня, дорогой ТС, но:
1. Вы создаёте себе систему передачи данных ректальной конструкции.
2. изучите уже работу netfilter, раз хотите быть сетевым проктологом. А то у Вы извращаетесь, а мы вынуждены потакать Вашим желаниям.

Ввиду Вашей слабой компетенции Вы создаёте проблемы себе, пользователям, создавая дырочную политику информационной безопасности. Смотрите - порвёт Вашу дырочку....

[Lord Vampire]

Если я так дропну исходящий трафик, разве не накроется и интернет тоже? ведь он идет под тем же уидом юзера

Они же у вас работают через squid, который запускается под root/squid.
В чём проблема-то?

Ну а кальмар идет через фаерфокс, который запускается под обычным юзером. Вот эта команда не помогла. iptables -A OUTPUT -m owner --uid-owner 1000 что я не так сделал?(((
Пользователь решил продолжить мысль 25 Июня 2013, 15:54:23:

(Нажмите, чтобы показать/скрыть)

Простите меня, дорогой ТС, но:
1. Вы создаёте себе систему передачи данных ректальной конструкции.
2. изучите уже работу netfilter, раз хотите быть сетевым проктологом. А то у Вы извращаетесь, а мы вынуждены потакать Вашим желаниям.

Ввиду Вашей слабой компетенции Вы создаёте проблемы себе, пользователям, создавая дырочную политику информационной безопасности. Смотрите - порвёт Вашу дырочку....

Я делаю лишь то что мне говорят =)) то что это извращение я не отрицаю =)))

[ArcFi]

Lord Vampire, короче, ловите:

Код: (bash) [Выделить]

-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p all -m conntrack --ctstate NEW -m owner --uid-owner root -j ACCEPT
-A OUTPUT -p all -m conntrack --ctstate NEW -m owner --uid-owner squid -j ACCEPT
...
-A OUTPUT -p all -m conntrack --ctstate NEW -m owner --uid-owner 1000 -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-host-prohibited

[fisher74]

(Нажмите, чтобы показать/скрыть)

Я делаю лишь то что мне говорят =)) то что это извращение я не отрицаю =)))

Знаете, как мой шеф говорит? "Значит Вы меня не убедили" И он ведь прав, чёрт побери.

[Lord Vampire]

Lord Vampire, короче, ловите:

Код: (bash) [Выделить]

-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p all -m conntrack --ctstate NEW -m owner --uid-owner root -j ACCEPT
-A OUTPUT -p all -m conntrack --ctstate NEW -m owner --uid-owner squid -j ACCEPT
...
-A OUTPUT -p all -m conntrack --ctstate NEW -m owner --uid-owner 1000 -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-host-prohibited

Не помогло, ладно. Не забивайте голову =))

[ArcFi]

Не помогло

Должно работать.
Вы под каким юзером проверяете?

[anubis_donetsk]

Чесно говоря, я несовсем понял что нужно ТС ))))

[Lord Vampire]

Чесно говоря, я несовсем понял что нужно ТС ))))

Не забивайте голову =))))))

Не помогло

Должно работать.
Вы под каким юзером проверяете?

Юзеры которые в списке рут, сквид, и 1000 имеют доступ к инет и сети. А юзеры которые не входят в список не имеют доступа ни в интернет ни в сеть.
Пользователь решил продолжить мысль 25 Июня 2013, 17:53:38:Проблему решил перекрытием исходящих портов. Вроде работает. Вначале была ошибка, что я закрывал порты на вход, оказывается это 2 разные вещи всем спасибо.