Kako da ogranicim "networking" na Linux-u na work hours?

[ Machiavelli... @ 10.01.2010. 21:54 ] @

Recmo hocu da radne stanice (Linux) imaju networking aktiviran samo u radno vreme?

Recimo da napravim neku scriptu koja ce da /etc/sysconfig/network promeni u odredjeno vreme

iz

NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=localhost.localdomain

u

NETWORKING=no
NETWORKING_IPV6=no
HOSTNAME=localhost.localdomain

Jel ima neko ideju kako ovo da izvedem?

P.S. Siguran sam da postoji i "kulturniji" nacin otvoren sam za sugestje.

[ maksvel @ 10.01.2010. 22:13 ] @

cron? Možeš samo prosto u skriptu staviti da unosi ove redove u fajl, na početku jedne, a posle druge. Nije možda najkulturnije, ali :)

[ niceness @ 10.01.2010. 23:40 ] @

iptables ima --match time (pogledaj man iptables). Mozda bi to bilo bolje resenje?

[ Machiavelli... @ 11.01.2010. 00:18 ] @

e upravo sam to pricao sa ortakom malopre. Da koristim time module za iptables, probacu to. Cudi me sto vec nije napravljena neka scriptica u kojoj se ovo lepo definise, ili recimo PAM modul koji bi se bavio ovim pa bi mogao da kontrolisem usere, vreme... Hvala na sugestijama ako ima jos ideja - super.

[ igor.vitorac @ 13.01.2010. 08:48 ] @

Nisi bas precizirao sta pod networking-om mislis, ali na osnovu recenog razumem da zelis kompletno da ukines mrezni saobracaj sa svima. Da budem iskren, ne mogu da zamislim situaciju u kojoj bi mi to trebalo...
Ukidanje networking-a nije preporucljivo jer mnogi servisi (aplikacije) iako se samo izvrsavaju na lokalnoj mashini , zavise od "networking"-a...
Bolje je resenje sa firewall-om na lokalnoj mashini, naravno podrazumeva se da na tim lokalnim mashinama nece raditi root user-i.

[ Machiavelli... @ 15.01.2010. 05:39 ] @

pa recimo hocu da zabranim lokalnim radnim stanicama (linux) da koriste internet u odredjenom intervalu. Nisam se lepo izrazio, ne kompletan mrezni saobracaj nego samo internet.

pada mi na pamet da recimo cron u odredjeno vreme ubaci u iptables da je zabranjen sav output izuzev onaj namenjen lokalnoj mrezi.

dal je ovo izvodljivo?

Recimo probao sam (i radi) da preko cron zabranim sav output u odredjenom vremenskom intervalu, i radi ok.

[ maksvel @ 15.01.2010. 08:43 ] @

Citat:

pada mi na pamet da recimo cron u odredjeno vreme ubaci u iptables da je zabranjen sav output izuzev onaj namenjen lokalnoj mrezi.

Možda, bez crona nešto kao:

iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -m time --timestart 09:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri -j ACCEPT

Znači - prvo pravilo propušta svaki saobraćaj za lokal uvek, a drugo propušta van lokala samo određenim danima/satima. Default polisa naravno DROP.

[ Tyler Durden @ 15.01.2010. 09:10 ] @

wow, nisam ni znao za ovo pravilo u iptables. mnogo su mocni :)

[ Machiavelli... @ 17.01.2010. 20:13 ] @

Dal su oni zobacili iz Iptables time module? Kada ja probam da koristim time module kaze mi

iptables v1.3.5: Couldn't load match `time':/lib/iptables/libipt_time.so: cannot open shared object file: No such file or directory

Skinucu source pa cu da kompajliram sa time modulom, ali me zanma sto su ga iskasirali?

[ maksvel @ 17.01.2010. 21:35 ] @

Uf, ti moduli se daju uključiti kao patch, ima o tome ovde: http://www.linuxjournal.com/article/7180 Nije baš trivijalno kao što je izgledalo - mora da se prekompajlira kernel

Ne znam šta je pametnije... Možda je najlakše napraviti dva fajla sa postavkama za iptables (jedan za working hours, drugi za ostale termine), pa u određeno vreme cronom uraditi iptables-restore fajla za zabranu, odnosno fajla koji dozvoljava?? Kao neka imitacija -m time --timestart

(BTW, ova tema je zrela da pređe u UNIX umrežavanje.)

_{[Ovu poruku je menjao maksvel dana 17.01.2010. u 22:58 GMT+1]}

[ Machiavelli... @ 18.01.2010. 01:12 ] @

Tako sam nekako i uradio sa cron. U pravu si, mrzi me da se zajebavam sa kompajliranjem kernela...