Toon posts:

User mode linux - netwerk

Pagina: 1
Acties:

maandag 9 februari 2004 14:33

Acties:

Verwijderd

Topicstarter
Ik heb een werkende user mode linux, die ik wat wil gaan beveiligen. Ik heb het netwerk draaiend gekregen door gebruik te maken van "eth0=taptun,uml" waarbij uml een tun device is. Deze device is met brctl aan de br0 bridge gekoppeld. Hierdoor heeft de UML een directe verbinding naar het ethernet.

Hoe kan ik nu voorkomen dat iemand binnen de UML zijn ip nummer verandert? (En daarmee dus mogelijk de host of een andere UML op dezelfde host van het network drukt.)

Het is bijvoorbeeld niet mogelijk met een 2.4 host kernel om iptables filtering hiervoor te gebruiken. (Wel met 2.6, maar dat is geen optie helaas).

Zelf zat ik te denken aan iets als "eth0=taptun,uml,1.2.3.4". Het ip nummer wordt dan gewoon op de command line van de host opgegeven, waardoor bij het instellen van een fout ip 'permission denied' volgt. Ik kan daar geen docu over vinden, en het werkt ook niet zo.

Een andere mogelijkheid is geen gebruik te maken van bridging, maar van de user space forwarding daemon. Helaas zorgt dat voor grote wijzigingen aan scripts op de host die ik liever wil voorkomen.

Hoe zou jij dit oplossen? Of is er niets beters voor?

maandag 9 februari 2004 15:04

Acties:

Verwijderd

Topicstarter
ondertussen wel iets van docu hierover gevonden:
"eth0=taptun,uml,,1.2.3.4" (2 komma's achter elkaar)

maar dit is niet bindend zo te zien. Met "ifconfig eth0 1.2.3.5" binnen de UML heb ik toch een ander ip te pakken...

maandag 9 februari 2004 15:20

Acties:
  • grep
  • Registratie: Augustus 2001
  • Laatst online: 30-01 13:52

grep

meer begrep...

Misschien een beetje simpel gedacht, maar kan je niet gewoon het gebruik van ifconfig beperken d.m.v. file rechten, of wordt er alleen als root ingelogd?

maandag 9 februari 2004 15:27

Acties:

Verwijderd

Topicstarter
grep schreef op 09 februari 2004 @ 15:20:
Misschien een beetje simpel gedacht, maar kan je niet gewoon het gebruik van ifconfig beperken d.m.v. file rechten, of wordt er alleen als root ingelogd?
Er wordt niet alleen als root ingelogd, misschien zelfs zelden. Maar de optie moet wel bestaan om een non-trusted user root in de UML te geven.

Trouwens, een normale user kan ook het ip niet aanpassen, heb je altijd root voor nodig. Dus zelfs al zet ik de rechten op 0755, dan nog kan een normale user niets ermee.

maandag 9 februari 2004 17:36

Acties:
  • im_ik
  • Registratie: November 2000
  • Laatst online: 28-12-2025

im_ik

dat ben ik dus

Meschien is ebtables wat.
Je kan dan oa op tcp header het packet weigeren zoals:
ebtables -A FORWARD -p IPv4 --ip-src 172.16.1.4 -i ! tap0 -j DROP
thans dat zeggen ze :)

me heeft zeflf nog niet met ebtables gespeelt omdat ik me uml's niet stable kreeg ....

Atari Terminator AI - LegoBlockX3 = ᒢᐩᐩ.ᒡᒢᑊᒻᒻᓫᔿ.ᣳᣝᐤᣜᣳ.ᐪᓫᣗᔿᑊᣕᣔᐪᐤᣗ.T008ᖟ

dinsdag 10 februari 2004 11:32

Acties:

Verwijderd

Topicstarter
im_ik schreef op 09 februari 2004 @ 17:36:
Meschien is ebtables wat.
Je kan dan oa op tcp header het packet weigeren zoals:
ebtables -A FORWARD -p IPv4 --ip-src 172.16.1.4 -i ! tap0 -j DROP
thans dat zeggen ze :)

me heeft zeflf nog niet met ebtables gespeelt omdat ik me uml's niet stable kreeg ....
Ja, dat zou ideaal zijn, maar ik mag de kernel niet patchen en/of vervangen.

Onder de 2.6 kernel is patchen trouwens niet eens meer nodig... (schijnt, heb ik nog niet uit ervaring)

Thanx voor de suggestie in ieder geval
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq