2011/9/8 AngelD <ang...@froga.net> > Wed, 7 Sep 2011, Juan Antonio: > > El 07/09/11 15:06, Marc Aymerich escribió: >> >>> >>> >>> 2011/9/7 Marc Olive <marc.ol...@blauadvisors.com >>> <mailto:marc.olive@**blauadvisors.com <marc.ol...@blauadvisors.com>>> >>> >>> >>> On Wednesday 07 September 2011 10:32:23 AngelD wrote: >>> > Tengo una máquina con un par de IPes en la que tengo usuarios >>> > "normales" y usuarios a los que sólo permito 'sftp' a unos >>> directorios con >>> > "chroot". >>> > >>> > Necesitaría que los usuarios normales entraran por la ip >>> A, y los >>> > usuarios del sftp con chroot entraran sólo por la B. >>> > >>> > Con la directiva "Match" del 'sshd_config' puedo >>> restringir por >>> > 'User, Group, Host, Address', pero no por IP destino. >>> >>> ¿No te sirve con distingirlos segun el "User" o "Group"? >>> >>> No veo como vas a diferenciar la IP de entrada en función del >>> usuario de ssh >>> (pienso en iptables, pero no). No hay relacion entre usuario shell >>> e IP. >>> >>> >>> Con iptables se puede identificar el usuario con --uid-owner, y se >>> puede identificar el nombre del proceso con --cmd-owner, Pero por >>> desgracia a iptables le va a faltar información de nivel aplicación >>> para diferencias que trafico es ssh, sftp o scp. >>> >>> Marc >>> >> >> Hola, >> >> en cualquier caso el módulo owner es válido para el tráfico que se >> genera en el propio sistema, unicamente es válido para las cadenas >> OUTPUT y POSTROUTING y harían coincidencia con el usuario que genera el >> tráfico ssh que en última instancia es el usuario que inició el demonio >> y no el que se logara en el sistema. >> > > Es una pena no haber leído correctamente éste correo antes de > realizar las pruebas. Ciertamente las normas con "--uid-owner" o similar no > me sirven, porque lo que necesito es aplicarlas al "INPUT", y como muy bien > puntualizas éstas sólo se aplican a OUTPUT y POSTROUTING. :-(
Pero aplicándolo en el OUTPUT no impides que se realice la conexión? -- Marc