El día 8 de septiembre de 2011 16:07, Marc Aymerich <glicer...@gmail.com> escribió: > > > 2011/9/8 AngelD <ang...@froga.net> >> >> Wed, 7 Sep 2011, Juan Antonio: >> >>> El 07/09/11 15:06, Marc Aymerich escribió: >>>> >>>> >>>> 2011/9/7 Marc Olive <marc.ol...@blauadvisors.com >>>> <mailto:marc.ol...@blauadvisors.com>> >>>> >>>> On Wednesday 07 September 2011 10:32:23 AngelD wrote: >>>> > Tengo una máquina con un par de IPes en la que tengo usuarios >>>> > "normales" y usuarios a los que sólo permito 'sftp' a unos >>>> directorios con >>>> > "chroot". >>>> > >>>> > Necesitaría que los usuarios normales entraran por la ip >>>> A, y los >>>> > usuarios del sftp con chroot entraran sólo por la B. >>>> > >>>> > Con la directiva "Match" del 'sshd_config' puedo >>>> restringir por >>>> > 'User, Group, Host, Address', pero no por IP destino. >>>> >>>> ¿No te sirve con distingirlos segun el "User" o "Group"? >>>> >>>> No veo como vas a diferenciar la IP de entrada en función del >>>> usuario de ssh >>>> (pienso en iptables, pero no). No hay relacion entre usuario shell >>>> e IP. >>>> >>>> >>>> Con iptables se puede identificar el usuario con --uid-owner, y se >>>> puede identificar el nombre del proceso con --cmd-owner, Pero por >>>> desgracia a iptables le va a faltar información de nivel aplicación >>>> para diferencias que trafico es ssh, sftp o scp. >>>> >>>> Marc >>> >>> Hola, >>> >>> en cualquier caso el módulo owner es válido para el tráfico que se >>> genera en el propio sistema, unicamente es válido para las cadenas >>> OUTPUT y POSTROUTING y harían coincidencia con el usuario que genera el >>> tráfico ssh que en última instancia es el usuario que inició el demonio >>> y no el que se logara en el sistema. >> >> Es una pena no haber leído correctamente éste correo antes de >> realizar las pruebas. Ciertamente las normas con "--uid-owner" o similar no >> me sirven, porque lo que necesito es aplicarlas al "INPUT", y como muy bien >> puntualizas éstas sólo se aplican a OUTPUT y POSTROUTING. :-( > > Pero aplicándolo en el OUTPUT no impides que se realice la conexión? > -- > Marc >
AllowUsers root@10.47.4.0/24 pirulo root@10.48.1.0/24 etc luego denegas todo el resto -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inútiles crónicos, -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CALvB54bgCPc=J=ZQENeQxNg8O1cV=hk-kEvG=_v+gj1owtm...@mail.gmail.com