1 (17.03.2015 14:47:28 отредактировано AntiduPb)

Тема: В iptables не работает модуль owner

Приветствую всех!

Исходные данные: Debian Wheezy

Консоль
# uname -a
Linux debian-ltsp 3.16.0-0.bpo.4-amd64 #1 SMP Debian 3.16.7-ckt4-3~bpo70+1 (2015-02-12) x86_64 GNU/Linux
работает LTSP сервером.

Задача: разрешить ходить в интернет пользователю root и пользователю admin. Остальным доступ только в локальную сеть.

Решение: блокировать пользователей по UID с помощью iptables и модуля owner.

Консоль
# iptables -A OUTPUT ! -d 192.168.0.0/16 -m owner --uid-owner 1001-1032 -j DROP

Проблема: не работает!

EPIC FAIL: а в Gentoo РАБОТАЕТ!

Вопрос: что я делаю не так??? И как заставить это работать в дебиане?

P.S. Я бы тут не спрашивал, если бы сам нагуглил или оно не работало-бы и в Gentoo(тогда бы дальше искал косяки). Но в Gentoo работает а Google ничего не говорит ac

Заранее спасибо!

2 (17.03.2015 15:06:12 отредактировано Bif)

Re: В iptables не работает модуль owner

У меня так работает

iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner postfix -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner root -j ACCEPT

Возможно не работает диапазон --uid-owner 1001-1032, надо попробовать так --uid-owner 1001

3

Re: В iptables не работает модуль owner

AntiduPb пишет

Вопрос: что я делаю не так???

надо разрешить админу и запретить всем остальным.

4

Re: В iptables не работает модуль owner

AntiduPb пишет

EPIC FAIL: а в Gentoo РАБОТАЕТ!

А у вас модуль ipt_owner и xt_owner  в ядре присутсвует?

5

Re: В iptables не работает модуль owner

Все разобрался. ВСЕМ БОЛЬШОЕ СПАСИБО!
Проблема была в том что эти правила в Gentoo отрабатывают на все пакеты, как и должны, а в дебиане отрабатывают только на tcp и не реагируют на icmp(примочка дебиана, как оказалось). А я проверял: ping ya.ru
Проверил в браузере все работает.
Всем еще раз спасибо! Извиняюсь за беспокойство ab