Discussion :

[f-k-z]

Bonjour,

J'ai 4 utilisateurs, qui peuvent se connecter sur ma machine via ssh, et l'un d'eux posséde une ip fixe.
Est-il possible de faire en sorte que cet utilisateur ne puisse se connecter que si il provient bien de cette ip, alors que les autre peuvent se connecter depuis n'importe qu'elle adresse ip ?

Cdlt,

F-k-z

[gorgonite]

une règle iptable... tu pourras même filtrer sur la MAC adress

[frp31]

non, tu pourras pas ... tu dois !!!!
travailler en ip c'est pas bien !

[Senaku-seishin]

frp31: C'est pour cela qui y a nufw!

[frp31]

nufw bosses en ouche 3 (ip) c'est donc de la m... en boite
ajouter une couche logicielle à un protocole ne peut que et dans le meilleur des cas ajouter un potentiel risque de faille supplémentaire.

Le routage ça doit se faire au niveau mac adresses pour 3 raisons :
-Premièrement c'est beaucoup plus facile à gèrer
-C'est plus sécurisé car il est difficile de simuler une adresse mac, hormis coté local du routeur (donc pas coté accès depuis l'exterieur).
-ça permet aussi en cas d'erreur de trouver instantanément la machine en cause alors qu'une IP ça peut etre utiliser dans le temps sur X machines
L'adresse mac elle n'évolue pas dans le temps.

[f-k-z]

Yop,
merci de vos réponses, par contre gorgonite je vois pas du tout quelle régle ajouter à iptables :s Au mieux j'ai qu'une seule ip qui peut se connecter sur tuos les comtpes :s
++

F-k-z

[gorgonite]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
iptables -A INPUT -m state --state NEW -p tcp --sport 1024: --dport 22 -j DROP
 
iptables -A INPUT -m state --state NEW -p tcp -s ${IP ou ZONE} --sport 1024: --dport 22 -i ${Interface Rezo} -j ACCEPT
# ou
iptables -A INPUT -m mac --mac-source ${mac address}  --sport 1024: --dport 22 -i ${Interface Rezo} -j ACCEPT

Références :

• http://gorgonite.developpez.com/tuto...isations#LII-6
• http://linux.developpez.com/iptables...ances#LXIV-C-9

[f-k-z]

Yop,
gorgonite la je vais bloquer mon ssh a une seule ip pour n'importe quel compte nan?

[granquet]

sur un réseau local il est aussi difficile de changer son addresse IP que son addresse MAC.

ifconfig eth0 hw ether FF:FF:FF:FF:FF:F0

je ne vois pas quelle sécurité apporte un filtrage sur l'@ mac par rapport à une @ ip.

et ça risque d'être délicat à faire avec iptables, étant donné qu'il faut filtrer sur le username

[frp31]

les fausses adresses mac (@mac utilisateur) sont flaguées comme tel et filtrables

une adresse mac A de VM ou A utilisateur ou A reelement hardware sont en réalité differentes vu par un routeur par exemple. Donc si on est parano on peut checké ça et interdire les @mac logiques pour laisser passer que les vraies HW@mac