1 (17.03.2015 14:47:28 отредактировано AntiduPb)

Приветствую всех!

Исходные данные: Debian Wheezy

 Консоль:
# uname -a
Linux debian-ltsp 3.16.0-0.bpo.4-amd64 #1 SMP Debian 3.16.7-ckt4-3~bpo70+1 (2015-02-12) x86_64 GNU/Linux
работает LTSP сервером.

Задача: разрешить ходить в интернет пользователю root и пользователю admin. Остальным доступ только в локальную сеть.

Решение: блокировать пользователей по UID с помощью iptables и модуля owner.

 Консоль:
# iptables -A OUTPUT ! -d 192.168.0.0/16 -m owner --uid-owner 1001-1032 -j DROP

Проблема: не работает!

EPIC FAIL: а в Gentoo РАБОТАЕТ!

Вопрос: что я делаю не так??? И как заставить это работать в дебиане?

P.S. Я бы тут не спрашивал, если бы сам нагуглил или оно не работало-бы и в Gentoo(тогда бы дальше искал косяки). Но в Gentoo работает а Google ничего не говорит ac

Заранее спасибо!

Конечно, это работает в Gentoo!

2 (17.03.2015 15:06:12 отредактировано Bif)

У меня так работает

iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner postfix -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner root -j ACCEPT

Возможно не работает диапазон --uid-owner 1001-1032, надо попробовать так --uid-owner 1001

3

AntiduPb пишет:

Вопрос: что я делаю не так???

надо разрешить админу и запретить всем остальным.

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

4

AntiduPb пишет:

EPIC FAIL: а в Gentoo РАБОТАЕТ!

А у вас модуль ipt_owner и xt_owner  в ядре присутсвует?

It is good day to die ...
MS Windows 10
Заметки о главном...

5

Все разобрался. ВСЕМ БОЛЬШОЕ СПАСИБО!
Проблема была в том что эти правила в Gentoo отрабатывают на все пакеты, как и должны, а в дебиане отрабатывают только на tcp и не реагируют на icmp(примочка Debian, как оказалось). А я проверял: ping ya.ru
Проверил в браузере все работает.
Всем еще раз спасибо! Извиняюсь за беспокойство ab

Конечно, это работает в Gentoo!