shorewall / iptables - restringe as portas de saída pelo usuário

1

Eu tenho filtragem trabalhando para alguns usuários e grupos; no entanto, não está funcionando para o SSH. Para o SSH, estou especificando que os membros do grupo ssh podem ter tráfego SSH de saída. Eu estou usando a mesma sintaxe para daemons (DNS e privoxy) e eles funcionam bem.

Quando faço uma listagem de processos, vejo que o ssh é executado por mim mesmo, então por que não está me deixando sair?

macro

?COMMENT SSH
PARAM - - tcp ssh - - - :ssh

iptables

ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 owner GID match 1006

1006 é o groupid do grupo ssh

Eu sou um membro do grupo ssh e vejo que o iptables está combinando o proprietário GID com o do ssh. Posso fazer isso ou não? Isso é de saída e não é de entrada ...

    
por Walter 09.12.2015 / 18:07

1 resposta

0

Isso já foi respondido por @DavidKing nos comentários: o GID verificado pelo iptables refere-se ao GID sob o qual o processo está sendo executado. Iptables não irá verificar se o dono desse processo é de alguma forma membro do grupo dado

Se você quiser manter suas configurações como estão, terá que executar ssh com um ID de grupo específico:

sg ssh "ssh [email protected]"

Aqui, sg é o comando para alterar o grupo no qual um comando é executado (assim como su faz o mesmo para os usuários). Pode ser visto como funciona comparando a saída de id e sg ssh id . Pode-se notar que o valor do gid será diferente, enquanto todo o restante permanece o mesmo.

Todo o tópico dos IDs de grupo é explicado muito bem nas respostas a esta pergunta .

    
por 10.12.2015 / 21:46

Tags