olen vähän ymmälläni. Tein tällaisen joskus aikasemmin jo ja kaikki toimi oikein. Eli käyttäjältä “foobar” estetään liikennettä. Muuten homma toimii hyvin, kaikki portit ovat kiinni, pelkästään ssh, webbi, dns toimii ja niitä pystyy rajotteleen connlimitillä. Mutta tuo icmp ei vain blokkaudu.
olen vähän ymmälläni. Tein tällaisen joskus aikasemmin jo ja kaikki toimi oikein. Eli käyttäjältä “foobar” estetään liikennettä. Muuten homma toimii hyvin, kaikki portit ovat kiinni, pelkästään ssh, webbi, dns toimii ja niitä pystyy rajotteleen connlimitillä. Mutta tuo icmp ei vain blokkaudu.
Mitä en ole huomannut?
[code]
#!/bin/sh
iptables -F
iptables -X
uid=foobar
#iptables -A OUTPUT -o wlan0 -m owner --uid-owner $uid -p tcp --dport 6666:6670 -m connlimit --connlimit-above 3 -j DROP
olen vähän ymmälläni. Tein tällaisen joskus aikasemmin jo ja kaikki toimi oikein. Eli käyttäjältä “foobar” estetään liikennettä. Muuten homma toimii hyvin, kaikki portit ovat kiinni, pelkästään ssh, webbi, dns toimii ja niitä pystyy rajotteleen connlimitillä. Mutta tuo icmp ei vain blokkaudu.
tukeekohan toi icmp protokollaa toi uid-owner, käsittääkseni toi moduuli ei ole ihan vakiokamaa.
–
Eero[/quote]
Please note that that some packets (such as ICMP ping responses) may have no owner (or suid based program), and hence never match. Also for some options, you may need to recompile kernel. On Red Hat Enterprise Linux and Debian default kernel has support for owner module.
tukeekohan toi icmp protokollaa toi uid-owner, käsittääkseni toi moduuli ei ole ihan vakiokamaa.
–
Eero
[/quote]
Please note that that some packets (such as ICMP ping responses) may have no owner (or suid based program), and hence never match. Also for some options, you may need to recompile kernel. On Red Hat Enterprise Linux and Debian default kernel has support for owner module.
siinä syy.
–
Eero[/quote]
eli ping on suid binääri muistaakseni eli ne lähtevät rootilla ne icmp paketit.
[quote=“pmw, post:5, topic:1262”]Mikä tässä olisi järkevin toimintamenetelmä sitten saadakseen toimimaan?
EDIT: kyseessä uusin debian vakiokernelillä, ihmetetyttää.[/quote]
kuten totesin, ping paketteja ei voi lähettää kuin root eli tässä tapauksessa sinun pitää blockata ne rootilta,
yksittäiseltä käyttäjältä et niitä voi estää. tai voit estää muuttamalla ping komennon käyttö-oikeuksia.