https://www.opennet.ru/openforum/vsluhforumID3/52999.html Использование туннелей на основе ssh сейчас широко распространено. И многие используют его как <br>универсальное решение для организации туннелей внутрь локальной сети для доступа к различным сервисам. <br>И в связи с этим очень часто возникает вопрос "А как ограничить возможности такого туннеля".<br><br>Например: <br>есть компания, которая обслуживает ваш web сервер. Для выполнения этой работы требуется доступ <br>к серверу web-server.dmz по портам 80 и 443.<br><br>Решение: <br>на сервере ssh, через который создаётся туннель, выполняем: <br><br>1) добавляем пользователя aaa<br><br>2) устанавливаем ему шелл /bin/false (или другой, только так чтобы он не мог залогиниться)<br><br>3) Добавляем правила iptables:<br><br> iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 80 -m owner --uid-owner aaa -j ACCEPT<br> iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 443 -m owner --uid-owner aaa -j ACCEPT<br> iptables -A OUTPUT -m owner --uid-owner aaa -j REJECT<br><br><br><br>URL: <br>Обсуждается: http://www.opennet.ru/tips/info/2043.shtml<br> https://www.opennet.ru/openforum/vsluhforumID3/52999.html#8 Wed, 29 Apr 2009 07:43:26 GMT а последняя строка зачем?<br> https://www.opennet.ru/openforum/vsluhforumID3/52999.html#7 Fri, 24 Apr 2009 05:58:57 GMT Вариант для ipfw :<br>ipfw add allow tcp from me to web-server.dmz 80,443 uid aaa<br>ipfw add deny tcp from me to any uid aaa<br> https://www.opennet.ru/openforum/vsluhforumID3/52999.html#6 Thu, 23 Apr 2009 19:13:22 GMT &gt;и сыграет свою злую роль. 8-) <br><br>Ужасно злую.А что это знание даст?<br> https://www.opennet.ru/openforum/vsluhforumID3/52999.html#5 Thu, 23 Apr 2009 19:04:00 GMT Я наконец придумал какой от этого вред :)<br>Можно узнать каким юзерам разрешено ходить в тунель. <br>Вот тут, как раз фишка --uid-owner которая работает с именами вместо UID <br>и сыграет свою злую роль. 8-)<br><br><br> <br> https://www.opennet.ru/openforum/vsluhforumID3/52999.html#4 Thu, 23 Apr 2009 11:58:21 GMT &gt;У меня имя нормально работает. <br><br>Наверно айпистолы старый <br><br>iptables v1.4.2-rc1<br> https://www.opennet.ru/openforum/vsluhforumID3/52999.html#3 Thu, 23 Apr 2009 07:01:24 GMT У меня имя нормально работает.<br> https://www.opennet.ru/openforum/vsluhforumID3/52999.html#2 Thu, 23 Apr 2009 02:17:05 GMT и не забыть проверить чтоб<br>CONFIG_NETFILTER_XT_MATCH_OWNER=y<br> https://www.opennet.ru/openforum/vsluhforumID3/52999.html#1 Thu, 23 Apr 2009 00:00:36 GMT Bad value for "--uid-owner" option: "aaa"<br><br>Числовое надо :)<br><br># export AAA=$(id -u aaa);<br># iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 80 -m owner --uid-owner $AAA -j ACCEPT<br># iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 443 -m owner --uid-owner $AAA -j ACCEPT<br># iptables -A OUTPUT -m owner --uid-owner $AAA -j REJECT<br><br><br>