愚生の一番苦手な場所です。
routerの場所でいろいろ調整してみたのだが、やっぱこれが避けて通れないみたい...

踏み台として外に出ていく際には条件を設ける

外部から共同研究として新たなユーザが参加する。
どこからでもログイン可能であるが、そのマシンを踏み台にして他のマシンや外部には行ってほしくない。

そこで、そのマシンで iptables の OUTPUT を適用してみた。

  • 特定のマシンは 計算機クラスタ のジョブ受付マシンである
  • クラスタの各マシンにはジョブコントロールを経由して、ジョブが流れるが、ログインはさせない
  • 特定のユーザのみクラスタの各マシンに直接ログインできる
  • 共同研究者には計算機クラスタ以外のマシンにもアクセスできない
  • ログを採取する

を前提として、

iptables -t filter -F      #初期化
 
iptables -t filter -A OUTPUT \                           # OUTPUTチェーンに対して
                   -m limit --limit 1/s \                # ログ採取の間隔
                   -p tcp ! --dport 53  \                # 53(DNS)以外の要求に
                   -m owner --uid-owner 500-10000 \      # 実行者のUIDが 500-10000 なら
                   -j LOG --log-uid --log-prefix "[reject]: "    # syslog経由で出されるログに記載(uid/gidともに) 
 
iptables -t filter -A OUTPUT \
                   -p tcp ! --dport 53 \
                   -m owner --uid-owner 500-10000 \
                   -j REJECT

と試作した

NIS
iptables -t filter -F INPUT
iptables -A INPUT -p tcp -m tcp --dport 111 -j ACCEPT


トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS
Last-modified: 2016-09-16 (金) 12:53:16 (369d)