Iptables não bloqueando o usuário

5

O iptables parece não querer bloquear um usuário.

Estou usando um live 10.04 remasterizado e Firestarter como firewall. Eu não fiz nenhuma alteração fundamental na distribuição, exceto para atualizar, atualizar e adicionar esta linha de iptable para meu usuário admin dev:

sudo iptables -A OUTPUT -p all -m owner --uid-owner dev -j DROP

Eu permiti que o dev, meu administrador, usasse o Firefox como outro usuário:

gksudo -u browserUser / usr / bin / firefox

Observação: o objetivo é parar de abrir scripts de navegador para a conta de administrador e, em vez disso, usar uma conta limpa sem privs como proxy.

Agora, eu testo para ver se o iptables está bloqueando no caso de o administrador acidentalmente tentar se conectar sem usar outro usuário. Então eu tento o navegador Midori diretamente:

/usr/bin/midori

Midori lança e se conecta à internet. Estou confuso. Minha entrada no iptables parece não funcionar.

Adicionei a mesma linha com a qual remasterizei:

sudo iptables -A OUTPUT -p all -m owner --uid-owner dev -j DROP

Ainda não estou bloqueado. Então, tento redefinir as tabelas:

sudo /etc/init.d/networking restart

Eu recebo a saída:

 * Reconfiguring network interfaces...
Ignoring unknown interface wlan0=wlan0.

Eu tento conectar-me novamente ao navegador Midori e minha regra de iptable ainda é ignorada.

O que está acontecendo?

    
por bambuntu 31.03.2012 / 00:04

1 resposta

6

A ordem das suas regras no iptables é crítica. Se um pacote corresponder a uma regra anterior, não haverá mais processamento.

Você está anexando (-A) suas regras ao final da cadeia OUTPUT, então, meu palpite é que os pacotes são aceitos por uma regra anterior.

Se você colocar a regra primeiro, com -I OUTPUT 1 , ela funcionará.

sudo iptables -I OUTPUT 1 -p all -m owner --uid-owner dev -j DROP

Seu caso de usuário é mais complexo porque você está usando 2 ferramentas, firestarter e iptables, para gerenciar suas regras de firewall. Eu sugiro que você use um ou outro, mas não ambos.

Se você gostaria de ver seu conjunto de regras, use

sudo iptables -L -v -n

E se você quiser usar o iptables para gerenciar seu firewall, veja

link

    
por Panther 31.03.2012 / 00:27

Tags