uprava firewallu nezkusenym uzivatelem

[Matus fantomas Uhlar]

Ing. Martin Homola <speedy na jazgym-ostrava.cz> wrote:
-> Dobry den, rad bych prodiskutoval nasledujici problem:

-> Chci, aby jeden bezny uzivatel mohl zakazat forward paketu na port 3128
-> na firewallu. Jedna se o cloveka, ktery v zivote Linux nevidel. Napadlo
-> me talkoveto reseni: Vytorit uzivatele (napr. neton) a jako shell mu
-> nastavil skript (s nastavenym SUID), ktery by provedl pridani daneho
-> pravidla do ipchains a nasledne logout.

Ja mam podobne riesenie urobene na IRC serveroch:
- vytvoreny chain "IRC"
- vsetky pakety z INPUT na tcp porty 6666-6669 su presmerovane do chainu IRC
- vsetky pakety z INPUT na tcp porty 6666-6669 su zakazane
  (user chainy nemozu mat default pravidlo)
- user ma skript ktory dokaze do chainu IRC pridat polozku (na zaciatok
  alebo na koniec), polozky vylistovat alebo vymazat, pristupny cez sudo.
- na zaciatku chainu IRC sa pridavaju zakazane masiny ako RETURN, na koniec
  povolene siete ako ACCEPT

Ak vam staci zakazovat pripojenie, staci vam pridavat/mazat polozky reject
a staci vam jedna rule v input chaine (co prejde chainom, teda nie je
zakazane, je povolene)

Myslim ze je to velmi dobre riesenie.

Este by nebol zly napad pridat do kernelu podporu tabuliek, ktore by si
kernel spravoval sam a obsahovali by len zoznam IP/maska - pouzivali by sa
nejakym pravidlom na zakazanie/povolenie accessu.

-- 
 Matus "fantomas" Uhlar, uhlar na fantomas.sk ; http://www.fantomas.sk/
 Warning: I don't wish to receive spam to this address.
 Varovanie: Nezelam si na tuto adresu dostavat akukolvek reklamnu postu.
 Fucking windows! Bring Bill Gates! (Southpark the movie)