Avatar billede msu Nybegynder
08. august 2001 - 14:51 Der er 9 kommentarer og
1 løsning

IP Begrænsninger

Hejsa.

Er der nogen der ved om man kan begrænse en IP addresse på en server så det kun er en bestemt bruger der kan bruge denne IP (vhost på irc).

Avatar billede razor Nybegynder
08. august 2001 - 14:58 #1
Selvfølgelig kan du gør så kun en IP har adgang til en server - Det kræver kun nogle ganske få simple firewall regler.

Hvad er vhost på irc ?
Avatar billede skwat Praktikant
08. august 2001 - 15:00 #2
allow den.ip.der.må 80 din.web.ser.ver 80
deny all from all
Avatar billede razor Nybegynder
08. august 2001 - 15:02 #3
skwat > Hvem snakker om webserver ?
Avatar billede msu Nybegynder
08. august 2001 - 15:05 #4
det jeg mener er :

Min box har f.eks. 2 IP addresser, og brugerne knud og kaj.

Jeg vil så gerne gøre så det KUN er brugeren kaj, der kan gøre brug af 192.168.1.2 som virtuel host, altså hvis man bruger den på IRC.

Det har intet at gøre med apache, og jeg tvivler på at man kan gøre det med iptables/ipchains.


Avatar billede razor Nybegynder
08. august 2001 - 16:48 #5
hvad er en virtual host i irc ?
Avatar billede jensaa Nybegynder
09. august 2001 - 14:02 #6
Normalt er det brugt på shell account firmaer og lignende...
Så for eksempel jeg kan bruge is.one.of.the.mighty.moocows.dk og så har jeg den host (vhost) på irc.(og ja...det er et \"live\" eksempel)
Jeg tror faktisk at man kan gøre det med iptables og en af patch-o-matic patches\'ne...Synes jeg har set en bruger patch...
Ellers tror jeg ikke man kan gøre det..
Mvh. Jens Andersen
Avatar billede jensaa Nybegynder
09. august 2001 - 14:03 #7
og så vidt jeg ved står det rent faktisk for \"Vanity host\" og ikke virtual host.
Mvh Jens Andersen
Avatar billede razor Nybegynder
09. august 2001 - 22:30 #8
ville det ikke være lettere at sætte en bouncer op ?
Avatar billede jensaa Nybegynder
09. august 2001 - 22:55 #9
Jeg har efter lidt afprøvning fundet en løsning der ser ud til at virke (den som jeg nævnte før)
Jeg er ikke helt sikker på om owner er en iptables extra ting eller standard..
Men du skal ihvertfald lave en kernel klar og så køre de normale iptables ting på den (make pending-patches, make, make install)
Og så sige ja til owner (enten inkluderet i kernen (nemmest) eller som modul som du så skal huske at insmod\'e)
Når det så er klaret er du klar..
Hvis det f.eks kun er en enkelt bruger der skal kunne bruge en host kan du gøre følgende :
iptables -A OUTPUT -m owner --uid-owner <brugerid>  -s <ip.addresse> -j ACCEPT
og nr to regel for at sikre at alle andre ikke kan bruge den
iptables -A OUTPUT -s <ip.addresse> -j DROP

hvis du bare skal sørge for at en enkelt person ikke kan bruge en ip kan du bruge
iptables -A OUTPUT -m owner --uid-owner <brugerid> -s <ip.addresse> -j DROP
så kan alle andre bruge det..
Du kan samtidigt også styre det på gruppe og pid,sid niveau.
Så vidt jeg har prøvet virker det helt perfekt og gør egentligt hvad du har brug for...
Dog er det nok også godt at lave en regel for root da jeg ikke ved om root kan gå uden om den regel...
Det skulle vist dække dit behov...Ellers ved jeg ikke hvad det er du vil gøre :)
En liste over muligheder herunder :
OWNER match v1.2.2 options:
[!] --uid-owner userid    Match local uid
[!] --gid-owner groupid    Match local gid
[!] --pid-owner processid  Match local pid
[!] --sid-owner sessionid  Match local sid

Mvh Jens Andersen
Avatar billede jensaa Nybegynder
09. august 2001 - 23:01 #10
det hedder \"Owner match support (EXPERIMENTAL) \"
Så jeg vil tro det er en patch-o-matic ting i iptables som du explicit skal slå til..
Mvh Jens Andersen
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester