debianforum.de

Hallo zusammen,

ich habe gerade einen --gid-owner Eintrag mit iptables getestet. Aus irgendeinem Grund funktioniert das nicht so wie ich das einstelle.

Ich habe alles geblockt und anschließend folgendes versucht zu öffnen. Leider hat das nicht funktioniert. Ich hab das ganze auch mit der Gruppe 118 (scanner) getestet in welcher mein sudo User steht. Auch das hat nicht funktioniert.

Wenn ich die lokal Gruppe 1000 verwende, in welcher ausschließlich mein sudo User steht, funktioniert die Konfiguration. Mach ich hier ein Denkfehler?

-A trägt die Regel hinten an, vllt. bringt dich ein -I zum Eintragen vor dem DROP/REJECT dem gewünschten Ziel näher.

iptables -nL OUTPUT zeigt dir die Regeln in der OUTPUT-chain. Wenn eine Regel das Paket wegschmeißt, kann eine spätere Regel es nicht mehr freischalten - der Drops ist da schon gelutscht.

Leider hat das nicht funktioniert. Ich hab das ganze auch mit der Gruppe 118 (scanner) getestet in welcher mein sudo User steht. Auch das hat nicht funktioniert.

Das owner modul matcht [1] auf die uid/gid des socket file descriptors. Da steht aber immer nur eine gid drin, idr. ist das die der primären Gruppe des users.

[1] https://github.com/torvalds/linux/blob/ ... wner.c#L93

// edit:

-A trägt die Regel hinten an, vllt. bringt dich ein -I zum Eintragen vor dem DROP/REJECT dem gewünschten Ziel näher.

Wenn die chain policy auf DROP steht sollte das schon so passen.

Das bedeutet ich kann nur die primäre Gruppe hierfür verwenden? Dann kann man eigentlich recht wenig hiermit anfangen. Mit der primären Gruppe (users) hat dies wirklich funktioniert.

Ich hatte folgendes vor. Ich erstelle im LDAP eine Gruppe Bsp. "Web443" und füge hier die User hinzu welchen den Zugriff für den Port 443 erhalten sollen. Jedoch scheint dies nicht wirklich zu funktionieren. Oder gibt es evtl noch ein Trick? Ich möchte nicht --uid-owner verwenden! Bei über 300 User ist das nicht machbar.