Frage zu iptables und dem owner-Modul

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Frage zu iptables und dem owner-Modul

Beitrag von mat6937 » 07.01.2017 17:11:23

FragDenPinguin hat geschrieben:

Code: Alles auswählen

$nc -zv heise.de 443
DNS fwd/rev mismatch: heise.de != redirector.heise.de
heise.de [193.99.144.80] 443 (https) : Connection refused
[/quote]

D. h., hier in diesem Fall hat die bloße Zugehörigkeit zur Gruppe "pinguin" gereicht, um den Zugang zum Port 443 mit Hilfe von "-m owner --gid-owner pinguin -j REJECT", zu blocken.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Frage zu iptables und dem owner-Modul

Beitrag von dufty2 » 07.01.2017 18:03:57

mat6937 hat geschrieben: D. h., hier in diesem Fall hat die bloße Zugehörigkeit zur Gruppe "pinguin" gereicht, um den Zugang zum Port 443 mit Hilfe von "-m owner --gid-owner pinguin -j REJECT", zu blocken.
Yo, aber "pinguin" ist ja auch die "Default-Gruppe" des Users "pinguin".
Die könnte man wohl auch ändern, dann wäre aber ggf. das Homeverzeichnis des pinguin für die anderen Gruppenmitglieder einsehbar. Weiss nicht, ob das so gewünscht wäre.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Frage zu iptables und dem owner-Modul

Beitrag von mat6937 » 07.01.2017 18:15:48

dufty2 hat geschrieben: Yo, aber "pinguin" ist ja auch die "Default-Gruppe" des Users "pinguin".
Das ist richtig. Aber mir ging es nur um folgende Aussage des TEs:
Die bloße Zugehörigkeit eines Users zu einer bestimmten Gruppe scheint also nicht zu reichen
Denn die "Default-Gruppe" ist ja auch eine bestimmte Gruppe.

FragDenPinguin
Beiträge: 34
Registriert: 06.01.2017 05:41:47

Re: Frage zu iptables und dem owner-Modul

Beitrag von FragDenPinguin » 07.01.2017 18:55:18

Ok, dann werde ich jetzt wohl diesen Weg wählen, um bestimmte ausgewählte Prozesse "gesondert" zu iptablen/ip-routen (zum Beispiel, weil sie nur über das Firmen-VPN kommunizieren sollen). Es sei denn, es gibt andere/bessere Vorschläge.

Antworten