https://opennet.me/openforum/vsluhforumID10/5145.html Здравствуйте.<br>устал пытаться понять почему так происходит:<br>есть юзер abc с UID 1002, требуется перенаправить его исходящий трафик на 127.0.0.1:3001<br><br>все норм. но пинг не запретить никак, т.е. запретить его для всех могу а для конкретного юзера нет.<br><br>alias it="iptables"<br>alias itn="iptables -t nat"<br><br>it -F<br>itn -F<br><br>itn -I OUTPUT -p ICMP -m owner --uid-owner 1002 -j DNAT --to-destination 127.0.0.1:3001<br>результат нулевой ping 8.8.8.8 из под abc нормально проходит<br><br>при it -P OUTPUT ACCEPT<br>it -I OUTPUT -p ICMP -m owner --uid-owner 1002 -j DROP<br>результат нулевой ping 8.8.8.8 из под abc нормально проходит<br><br>при it -P OUTPUT DROP<br>it -I OUTPUT -p ICMP -m owner ! --uid-owner 1002 -j ACCEPT<br>результат нулевой ping 8.8.8.8 из под abc нормально проходит<br>-------------------------------------------------<br>что я не так делаю?<br><br> https://opennet.me/openforum/vsluhforumID10/5145.html#5 Fri, 12 Apr 2013 21:23:00 GMT &gt;&gt; # sysctl -w net.ipv4.ping_group_range="1111 1111"; <br>&gt; Это где такое?<br><br>Linux 3.0 <br><br>http://kernelnewbies.org/Linux_3.0#head-c5bcc118ee946645132a834a716ef0d7d05b282e<br>http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=c319b4d76b9e583a5d88d6bf190e079c4e43213d<br> https://opennet.me/openforum/vsluhforumID10/5145.html#4 Thu, 11 Apr 2013 09:44:24 GMT Благодарю. про пинг понял. буду исправлять.<br> https://opennet.me/openforum/vsluhforumID10/5145.html#3 Wed, 10 Apr 2013 18:20:24 GMT &gt; # sysctl -w net.ipv4.ping_group_range="1111 1111"; <br><br> Это где такое?<br><br>#sysctl -w net.ipv4.ping_group_range="1111 1111"<br>error: "net.ipv4.ping_group_range" is an unknown key<br><br><br><br> https://opennet.me/openforum/vsluhforumID10/5145.html#2 Wed, 10 Apr 2013 12:13:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt; что я не так делаю?<br>&gt; бинарник ping суидный, ICMP-сокет открывается от рута и отправка пингов отправляется от <br>&gt; рута практически всегда.<br><br>Вариант 1.<br>[code]<br># chmod 0755 `which ping`;<br># setcap "cap_net_raw+ep" `which ping`;<br>[/code]<br><br>Вариант 2.<br>[code]<br># cd tmp; wget http://mirrors.kernel.org/openwall/Owl/current/sources/Owl/packages/iputils/iputils-s20101006.tar.bz2<br># tar xf iputils-s20101006.tar.bz2;<br># cd iputils-s20101006;<br># make<br># cp -f ./ping `which ping`;<br># groupadd -r -g 1111 allow_ping<br># chgrp allow_ping `which ping`;<br># chmod u-s `which ping`;<br># chmod g+s `which ping`;<br># sysctl -w net.ipv4.ping_group_range="1111 1111";<br># usermod -G allow_ping user1002;<br>[/code]<br> https://opennet.me/openforum/vsluhforumID10/5145.html#1 Wed, 10 Apr 2013 03:57:59 GMT &gt;[оверквотинг удален]<br>&gt; 127.0.0.1:3001 <br>&gt; результат нулевой ping 8.8.8.8 из под abc нормально проходит <br>&gt; при it -P OUTPUT ACCEPT <br>&gt; it -I OUTPUT -p ICMP -m owner --uid-owner 1002 -j DROP <br>&gt; результат нулевой ping 8.8.8.8 из под abc нормально проходит <br>&gt; при it -P OUTPUT DROP <br>&gt; it -I OUTPUT -p ICMP -m owner ! --uid-owner 1002 -j ACCEPT <br>&gt; результат нулевой ping 8.8.8.8 из под abc нормально проходит <br>&gt; ------------------------------------------------- <br>&gt; что я не так делаю?<br><br>бинарник ping суидный, ICMP-сокет открывается от рута и отправка пингов отправляется от рута практически всегда.<br>