DaGrrr
23.05.11, 20:40
Hi,
ich habe bezüglich der des owner matching mit iptables eine Frage:
Ich habe eine VM, die einen Zugang per ssh zu bestimmten Servern ermöglicht. Nun möchte ich, dass von dieser VM der Zugang für die Gruppe "admins (gid=10003)" auf das komplette Netz 192.168.1.0/24 und für die Gruppe "developer (gid=10004)" nur auf eine bestimmte IP möglich ist.
[...]
# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[...]
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m owner --gid-owner 10003 -p tcp -d 192.168.1.0/24 --sport 1024:65535 --dport 22 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m owner --gid-owner 10004 -p tcp -d 192.168.1.5/32 --sport 1024:65535 --dport 22 -j ACCEPT
[...]
Das IPtables Script lässt sich ohne Fehler starten, allerdings ist kein Zugriff auf SSH möglich (Connection Timeout). Geht das so überhaupt so wie ich mir das vorstelle? Oder kann man das anders regeln?
Über Vorschläge wäre ich dankbar. :-)
Grüße
DaGrrr
ich habe bezüglich der des owner matching mit iptables eine Frage:
Ich habe eine VM, die einen Zugang per ssh zu bestimmten Servern ermöglicht. Nun möchte ich, dass von dieser VM der Zugang für die Gruppe "admins (gid=10003)" auf das komplette Netz 192.168.1.0/24 und für die Gruppe "developer (gid=10004)" nur auf eine bestimmte IP möglich ist.
[...]
# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[...]
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m owner --gid-owner 10003 -p tcp -d 192.168.1.0/24 --sport 1024:65535 --dport 22 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m owner --gid-owner 10004 -p tcp -d 192.168.1.5/32 --sport 1024:65535 --dport 22 -j ACCEPT
[...]
Das IPtables Script lässt sich ohne Fehler starten, allerdings ist kein Zugriff auf SSH möglich (Connection Timeout). Geht das so überhaupt so wie ich mir das vorstelle? Oder kann man das anders regeln?
Über Vorschläge wäre ich dankbar. :-)
Grüße
DaGrrr