আমি কি কোনও ব্যবহারকারী (এবং তাদের অ্যাপ্লিকেশন) কে একটি নেটওয়ার্ক ইন্টারফেসে সীমাবদ্ধ করতে পারি?


15

এটি প্রয়োগ করার জন্য আমার কাছে দুটি দৃশ্যপট পেয়েছে:

  1. মালটিসিট ডেস্কটপ: ইন্টারনেট গেটওয়ে এবং দুটি অ্যাকাউন্টের সাথে দুটি করে ব্যান্ডউইথ-নিবিড় কাজগুলি করে দুটি নেটওয়ার্ক সংযোগ। আমি তাদের বিভক্ত করতে চাই যাতে একটি অ্যাকাউন্ট কেবলমাত্র eth0 ব্যবহার করে এবং দ্বিতীয় অ্যাকাউন্টটি কেবলমাত্র E1 ব্যবহার করে।

  2. সার্ভার: আমার একটি সার্ভারে দুটি আইপি রয়েছে এবং আমি নিশ্চিত করতে চাই যে মেল ব্যবহারকারী কেবল দ্বিতীয় আইপি থেকে ইমেল প্রেরণ করবেন (eth0: 1 ওরফে)

দ্বিতীয়টি সম্ভবত আইপিটিএলড হতে পারে (আমি কেবল জানি না) সেই ইন্টারফেসের মাধ্যমে ইমেল ট্র্যাফিকের রুট কীভাবে করা যায় তবে প্রথমটি সমস্ত ধরণের ট্র্যাফিকের সাথে কাজ করবে সুতরাং ব্যবহারকারী-ভিত্তিক হওয়া দরকার। যদি কোনও ব্যবহারকারী-ভিত্তিক সমাধান থাকে তবে আমি উভয় জায়গায় এটি প্রয়োগ করতে পারি।

উত্তর:


6

আপনি iptables এর মালিক মডিউল এবং সম্ভবত কিছু চতুর প্যাকেট ম্যাঙ্গালিং ব্যবহার করতে চাইবেন ।

মালিক এই মডিউলটি স্থানীয়ভাবে উত্পাদিত প্যাকেটের জন্য প্যাকেট নির্মাতার বিভিন্ন বৈশিষ্ট্যের সাথে মেলে চেষ্টা করে। এটি কেবলমাত্র OUTPUT চেইনে বৈধ, এবং তারপরেও কিছু প্যাকেটগুলির (যেমন আইসিএমপি পিং প্রতিক্রিয়াগুলির) কোনও মালিক থাকতে পারে না এবং তাই কখনও মিলছে না।

--uid- মালিক ইউজারআইডি মেলে যদি প্যাকেটটি প্রদত্ত কার্যকর (সংখ্যাসূচক) ব্যবহারকারী আইডি দিয়ে কোনও প্রক্রিয়া দ্বারা তৈরি করা হয়েছিল।

--gid- মালিক গ্রুপিড মিলছে যদি প্যাকেটটি প্রদত্ত কার্যকর (সংখ্যাসূচক) গ্রুপ আইডি দিয়ে কোনও প্রক্রিয়া দ্বারা তৈরি করা হয়েছিল।

--pid- মালিক প্রসেসিড মিলছে যদি প্যাকেটটি প্রদত্ত প্রক্রিয়া আইডি সহ কোনও প্রক্রিয়া দ্বারা তৈরি করা হয়েছিল।

--sid- মালিক সেশনড প্যাকেট প্রদত্ত অধিবেশন গোষ্ঠীতে কোনও প্রক্রিয়া দ্বারা তৈরি করা হয় কিনা তা মিলছে।


চিহ্নটি সেট করতে আপনি আইপটিবল ব্যবহার করতে পারেন, যা আপনি তারপরে রাউটিং টেবিলটিতে ব্যবহার করতে পারেন। মার্ক এবং কনমার্ক লক্ষ্যগুলি দেখুন। আইপ্রাউটে, এর তত্ক্ষণাত্ 'আইপি রুলটি ফিউমার্ক এক্স যোগ করুন ...' আমি অবাক হব না, আসলে, যদি আইপ্রোইট 2 একা এটি করতে পারে ...
ডার্বার্ট

3
মালিকের সাথে মিলে যাওয়া নিয়ে যিনি বিস্তীর্ণ কাজ করেছেন, তাই আমি বলতে পারি এটি সর্বদা পছন্দসই ফলাফল দেয় না। অর্থাত্, সমস্ত প্যাকেটের কাছে আপনার প্রত্যাশা মতো কোনও মালিক নেই। আইসিএমপি এবং ইএসপি হ'ল এমন প্রকার যা কার্নেলের মালিক (বা মূল) উত্সাহীন অ্যাপ্লিকেশন নির্বিশেষে এবং এর সাথে মিলবে না-m owner । এটি টিসিপি এবং ইউডিপির সাথে মোটামুটি নির্ভরযোগ্য, তবে অন্যান্য ধরণের এত নির্ভরযোগ্য নয়। শুধুমাত্র এই 100% অর্জন করতে নির্ভরযোগ্য উপায় VM- র বা পাত্রে সাথে।
বাহামাত

7

আপনি শারীরিক মেশিনে দুটি ভার্চুয়াল মেশিন সেট আপ করতে এবং নেটওয়ার্ক ইন্টারফেস ব্রিজিং সেট আপ করতে পারেন যাতে একটি ভিএম ইথ0 ব্যবহার করে এবং অন্য ভিএম এথ 1 ব্যবহার করে। ব্রিজড নেটওয়ার্কিংয়ের ভার্চুয়াল বক্স ডকুমেন্টেশন বিভাগটি দেখুন ।


1

আমি নিশ্চিত নই যে প্রথম পয়েন্টের জন্য এটি সম্ভব। আপনি ব্যবহারকারীর ইউজারিডের উপর ভিত্তি করে কিছু রাউটিং ম্যানিপুলেশন করতে চান। গতবার যাচাই করেছিলাম আমি এই সম্ভাবনাটি দেখিনি।

দ্বিতীয় দফার জন্য, এটি iptables নয় যা আপনি ব্যবহার করতে চান iproute2 ( সম্পূর্ণ ডকটির জন্য http://lartc.org/howto/ এবং http://www.policyrouting.org/iproute2.doc.html )। এটি ifconfig / রুট কমান্ডগুলি অপ্রচলিত হিসাবে বিবেচিত হিসাবে প্রতিস্থাপন। iproute2 ইউ এর উত্স অনুসারে প্যাকেটগুলি রুট করার অনুমতি দেয়। তাহলে এটাই আপনি চান

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.