Ulospäin menevän pingin blokkaus käyttäjältä ei onnistu

pmw · Helmikuu 24, 2011, 1.23pm

Moi,

olen vähän ymmälläni. Tein tällaisen joskus aikasemmin jo ja kaikki toimi oikein. Eli käyttäjältä “foobar” estetään liikennettä. Muuten homma toimii hyvin, kaikki portit ovat kiinni, pelkästään ssh, webbi, dns toimii ja niitä pystyy rajotteleen connlimitillä. Mutta tuo icmp ei vain blokkaudu.

Mitä en ole huomannut?

#!/bin/sh

iptables -F
iptables -X

uid=foobar

#iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p tcp --dport 6666:6670 -m connlimit --connlimit-above 3 -j DROP 

iptables -A OUTPUT -o wlan0 -m multiport -m owner --uid-owner $uid -p tcp --dports 6666:6670,80 -j ACCEPT 
iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p udp --dport 53 -j ACCEPT 

iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p icmp --icmp-type echo-request -j DROP 
iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -j DROP

eero · Helmikuu 24, 2011, 7.00pm

[quote=“pmw, post:1, topic:1262”]Moi,

olen vähän ymmälläni. Tein tällaisen joskus aikasemmin jo ja kaikki toimi oikein. Eli käyttäjältä “foobar” estetään liikennettä. Muuten homma toimii hyvin, kaikki portit ovat kiinni, pelkästään ssh, webbi, dns toimii ja niitä pystyy rajotteleen connlimitillä. Mutta tuo icmp ei vain blokkaudu.

Mitä en ole huomannut?

[code]
#!/bin/sh

iptables -F
iptables -X

uid=foobar

#iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p tcp --dport 6666:6670 -m connlimit --connlimit-above 3 -j DROP

iptables -A OUTPUT -o wlan0 -m multiport -m owner --uid-owner $uid -p tcp --dports 6666:6670,80 -j ACCEPT
iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p udp --dport 53 -j ACCEPT

iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p icmp --icmp-type echo-request -j DROP
iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -j DROP
[/code][/quote]

tukeekohan toi icmp protokollaa toi uid-owner, käsittääkseni toi moduuli ei ole ihan vakiokamaa.

–
Eero

eero · Helmikuu 24, 2011, 7.54pm

[quote=“eero, post:2, topic:1262”][quote author=pmw link=topic=1598.msg7550#msg7550 date=1298553800]
Moi,

olen vähän ymmälläni. Tein tällaisen joskus aikasemmin jo ja kaikki toimi oikein. Eli käyttäjältä “foobar” estetään liikennettä. Muuten homma toimii hyvin, kaikki portit ovat kiinni, pelkästään ssh, webbi, dns toimii ja niitä pystyy rajotteleen connlimitillä. Mutta tuo icmp ei vain blokkaudu.

Mitä en ole huomannut?

#!/bin/sh

iptables -F
iptables -X

uid=foobar

#iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p tcp --dport 6666:6670 -m connlimit --connlimit-above 3 -j DROP 

iptables -A OUTPUT -o wlan0 -m multiport -m owner --uid-owner $uid -p tcp --dports 6666:6670,80 -j ACCEPT 
iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p udp --dport 53 -j ACCEPT 

iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p icmp --icmp-type echo-request -j DROP 
iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -j DROP

[/quote]

tukeekohan toi icmp protokollaa toi uid-owner, käsittääkseni toi moduuli ei ole ihan vakiokamaa.

–
Eero[/quote]

Please note that that some packets (such as ICMP ping responses) may have no owner (or suid based program), and hence never match. Also for some options, you may need to recompile kernel. On Red Hat Enterprise Linux and Debian default kernel has support for owner module.

siinä syy.

–
Eero

eero · Helmikuu 24, 2011, 7.54pm

[quote=“eero, post:3, topic:1262”][quote author=eero link=topic=1598.msg7552#msg7552 date=1298574051]

Moi,

olen vähän ymmälläni. Tein tällaisen joskus aikasemmin jo ja kaikki toimi oikein. Eli käyttäjältä “foobar” estetään liikennettä. Muuten homma toimii hyvin, kaikki portit ovat kiinni, pelkästään ssh, webbi, dns toimii ja niitä pystyy rajotteleen connlimitillä. Mutta tuo icmp ei vain blokkaudu.

Mitä en ole huomannut?
#!/bin/sh

iptables -F
iptables -X

uid=foobar

#iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p tcp --dport 6666:6670 -m connlimit --connlimit-above 3 -j DROP 

iptables -A OUTPUT -o wlan0 -m multiport -m owner --uid-owner $uid -p tcp --dports 6666:6670,80 -j ACCEPT 
iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p udp --dport 53 -j ACCEPT 

iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p icmp --icmp-type echo-request -j DROP 
iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -j DROP

tukeekohan toi icmp protokollaa toi uid-owner, käsittääkseni toi moduuli ei ole ihan vakiokamaa.

–
Eero
[/quote]

Please note that that some packets (such as ICMP ping responses) may have no owner (or suid based program), and hence never match. Also for some options, you may need to recompile kernel. On Red Hat Enterprise Linux and Debian default kernel has support for owner module.

siinä syy.

–
Eero[/quote]

eli ping on suid binääri muistaakseni eli ne lähtevät rootilla ne icmp paketit.

–
Eero

pmw · Helmikuu 24, 2011, 11.36pm

Mikä tässä olisi järkevin toimintamenetelmä sitten saadakseen toimimaan?

EDIT: kyseessä uusin debian vakiokernelillä, ihmetetyttää.

eero · Helmikuu 25, 2011, 5.47am

[quote=“pmw, post:5, topic:1262”]Mikä tässä olisi järkevin toimintamenetelmä sitten saadakseen toimimaan?

EDIT: kyseessä uusin debian vakiokernelillä, ihmetetyttää.[/quote]

kuten totesin, ping paketteja ei voi lähettää kuin root eli tässä tapauksessa sinun pitää blockata ne rootilta,
yksittäiseltä käyttäjältä et niitä voi estää. tai voit estää muuttamalla ping komennon käyttö-oikeuksia.

–
Eero

ville · Helmikuu 26, 2011, 1.45pm

Itsellä on julkisella palvelimella GRSec kerneli, high security asetuksella, jolla kyllä voi blokata pingin.

ville@kristalli:~$ ping linux.fi
ping: icmp open socket: Operation not permitted

pmw · Helmikuu 26, 2011, 9.34pm

Jeps. Täytyisi ehkä tuo grsec joskus pistää, varmaan tullut vähän muutoksia siihenkin tässä vuosien saatossa.

eero · Maaliskuu 12, 2011, 9.15pm

[quote=“pmw, post:5, topic:1262”]Mikä tässä olisi järkevin toimintamenetelmä sitten saadakseen toimimaan?

EDIT: kyseessä uusin debian vakiokernelillä, ihmetetyttää.[/quote]

poistat ping binääriltä suid bitin?

–
Eero