El 08/09/11 21:07, Marc Aymerich escribió: > > > 2011/9/8 AngelD <ang...@froga.net <mailto:ang...@froga.net>> > > Wed, 7 Sep 2011, Juan Antonio: > > El 07/09/11 15:06, Marc Aymerich escribió: > > > > 2011/9/7 Marc Olive <marc.ol...@blauadvisors.com > <mailto:marc.ol...@blauadvisors.com> > <mailto:marc.ol...@blauadvisors.com > <mailto:marc.ol...@blauadvisors.com>>> > > > On Wednesday 07 September 2011 10:32:23 AngelD wrote: > > Tengo una máquina con un par de IPes en la que > tengo usuarios > > "normales" y usuarios a los que sólo permito 'sftp' a unos > directorios con > > "chroot". > > > > Necesitaría que los usuarios normales entraran > por la ip > A, y los > > usuarios del sftp con chroot entraran sólo por la B. > > > > Con la directiva "Match" del 'sshd_config' puedo > restringir por > > 'User, Group, Host, Address', pero no por IP destino. > > ¿No te sirve con distingirlos segun el "User" o "Group"? > > No veo como vas a diferenciar la IP de entrada en > función del > usuario de ssh > (pienso en iptables, pero no). No hay relacion entre > usuario shell > e IP. > > > Con iptables se puede identificar el usuario con > --uid-owner, y se > puede identificar el nombre del proceso con --cmd-owner, > Pero por > desgracia a iptables le va a faltar información de nivel > aplicación > para diferencias que trafico es ssh, sftp o scp. > > Marc > > > Hola, > > en cualquier caso el módulo owner es válido para el tráfico que se > genera en el propio sistema, unicamente es válido para las cadenas > OUTPUT y POSTROUTING y harían coincidencia con el usuario que > genera el > tráfico ssh que en última instancia es el usuario que inició > el demonio > y no el que se logara en el sistema. > > > Es una pena no haber leído correctamente éste correo antes > de realizar las pruebas. Ciertamente las normas con "--uid-owner" > o similar no me sirven, porque lo que necesito es aplicarlas al > "INPUT", y como muy bien puntualizas éstas sólo se aplican a > OUTPUT y POSTROUTING. :-( > > > Pero aplicándolo en el OUTPUT no impides que se realice la conexión? > > -- > Marc
Hola, tienes razón Marc, pero aun le faltaría resolver la cuestión de diferenciar el tráfico ssh del sftp, parcheando y usando l7 quiza. Un saludo.