PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : IPtables - owner match


DaGrrr
23.05.11, 20:40
Hi,

ich habe bezüglich der des owner matching mit iptables eine Frage:

Ich habe eine VM, die einen Zugang per ssh zu bestimmten Servern ermöglicht. Nun möchte ich, dass von dieser VM der Zugang für die Gruppe "admins (gid=10003)" auf das komplette Netz 192.168.1.0/24 und für die Gruppe "developer (gid=10004)" nur auf eine bestimmte IP möglich ist.



[...]
# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[...]
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m owner --gid-owner 10003 -p tcp -d 192.168.1.0/24 --sport 1024:65535 --dport 22 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m owner --gid-owner 10004 -p tcp -d 192.168.1.5/32 --sport 1024:65535 --dport 22 -j ACCEPT
[...]


Das IPtables Script lässt sich ohne Fehler starten, allerdings ist kein Zugriff auf SSH möglich (Connection Timeout). Geht das so überhaupt so wie ich mir das vorstelle? Oder kann man das anders regeln?

Über Vorschläge wäre ich dankbar. :-)

Grüße
DaGrrr
derRichard
23.05.11, 21:45
hi!

hmm, ich verstehe die fragestellung nicht wirklich.
nach deinen regeln zu folge hat der ssh-zugang überhazupt nichts mit dem owner zu tun.

wo soll das das firewallskript laufen?
//richard
DaGrrr
24.05.11, 16:47
Hi Richard,

die oben abgebildete Regel funktioniert. :ugly:

Was ich vergessen habe zu erwähnen ist, dass hier nicht die Gruppen ID vom lokalen System, sondern die GID vom Active Directory abgefragt wird und hier stand als Primäre Gruppe: Domänen-Benutzer, was mit der iptables Regel nicht gematcht hat.

Zum Hintergrund:

Eine bestimmte Gruppe von Servern soll nur von einer Maschine, indem Fall die erwähnte VM erreichbar sein. Also nur von einer IP aus. Der SSH Daemon bietet Active Directory Authentifizierung per Samba und Winbind an.

Loggt sich der User mit seinem AD Konto auf diese VM ein, dann soll anhand der obigen iptables Regel entschieden werden, auf welchen IP- bzw. Server Bereich er Zugriff hat.

Das Problem war, dass der/die User Mitglied in mehreren AD Gruppen waren. Wenn ich mich als AD User anmelde und ein "id" absetze, dann sieht die Ausgabe ungefähr so aus:



uid=10000 (vorname.name) gid=10001(Domain-Benutzer) Weitere Gruppen: 10005(bla), 10006(blabla) 10004(linuxuser)


iptables wertet hier gid= aus und nicht weitere Gruppen 10004. Es musste also die Primäre Gruppe im AD auf linuxuser gesetzt werden. Nach 1-2 Minuten wurde die Einstellung übernommen und id zeigte als gid, dann die gewünschte Gruppe an.

Ich hoffe die Beschreibung ist nun verständlicher.

Das Problem ist behoben. ;-)

Grüße
DaGrrr