VyOS NAT не работает

Question

VyOS NAT не работает

Мы переносим наш интернет-шлюз с Cisco на маршрутизатор VyOS.

Наш интернет-провайдер предоставляет нам сеть / 29 на VLAN 2715 со своего маршрутизатора ( ABC114 / 29 , где ABC113 - их маршрутизатор и шлюз для нашего трафика).

Мы есть коммутатор уровня 3, который выполняет маршрутизацию между VLAN, и он имеет IP 172.16.255.255 для трафика к шлюзу. Трафик помечен в VLAN 255.

При попытке зафиксировать настройки NAT мы получаем предупреждения, показывающие, что все IP-адреса не настроены на маршрутизаторе, кроме одного. Этот IP-адрес указан в интерфейсы eth1 vif 2715 адрес ( ABC114 , хотя это вся подсеть ABC114 / 29 - в настоящее время только динамический NAT (исходное правило 100) работает) что странно.

Мы должны сделать NAT 1-к-1 для нескольких серверов (в конфигурации примера - AB Другие программы (например, выполняющая резервное копирование) получат ошибку при попытке прочитать этот открытый файл.



 Теперь у кого-то есть рабочий процесс, основанный на этом поведении, и это не похоже на правду. Я могу открыть документ Word или  dd  файл на монтировании Linux CIFS, и пока он открыт, я могу прочитать все это целиком из другого клиента CIFS. 

 Предполагая, что я не мог себе представить такое поведение , есть ли способ воссоздать это? Я пробовал netapp с включенным SMB2 и без него, а также с включенными блокировками и без них. Я пробовал файлеры с разными версиями OnTap. Я не вижу в Linux параметров монтирования, которые могли бы повлиять на поведение. Ни одна из этих конфигураций не дает мне запретить чтение по умолчанию. 

 Цель: Разрешить клиентам писать в общий ресурс SMB, но запретить доступ для чтения другим клиентам, пока файл не будет закрыт.
setsebool user_exec_content off Общая конфигурация SELINUX = enforcing
SELINUXTYPE = target Когда я вхожу в учетную запись Мэри, я могу ...  
 Я настроил SELinux: 

semanage login -a -s user_u mary
setsebool user_exec_content off


 Общая конфигурация 

SELINUX=enforcing
SELINUXTYPE=targeted


 Когда я вхожу в учетную запись Мэри, я все еще могу запускать сценарии в ее учетной записи, но setsebool (user_exec_content = off) должен запретить это делать? 

 Кто-нибудь может указать мне правильное направление?


         
            3

         
         
            selinux         
         
         
            задан user9517 supports GoFundMonica
            29 December 2016 в 21:34 
         
         
         Ссылка


    1 ответ


  
    
   
   
      

      
         
                     
      

         
         
            
               
                  
                     Пользователь Selinux не ограничен при использовании su

Некоторые приложения или помощники используют PAM для получения/установки ограничений SELinux. SSHD, например, требует, чтобы пользовательские ограничения SELinux были включены в UsePAM yes. В зависимости от ваших политик SELinux и булеанов, вы можете обойти ограничения при использовании некоторых помощников, таких как su или sudo, а также в зависимости от того, как они выполняются. Это требует понимания того, какие переходы разрешены в политике SELinux.

Если Мэри входит в систему через SSH и UsePAM yes установлен, то они должны быть ограничены, как и ожидалось, и ваш булеан должен вступить в силу.
.                  
                  2

                  
                  
                     ответ дан 
                     3 December 2019 в 06:57 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
              



      
        Теги
        
         selinux       

        Похожие вопросы
        
          
                          36 
 Причины отключить / включают SELinux - 23 May 2017 15:41 
                            33 
 Где является sshd файлом журнала на Red Hat сохраненный Linux? - 10 January 2013 17:28 
                            21 
 Как я позволяю Подключения mysql через SELinux? - 21 September 2018 13:09 
                            18 
 Попытка к SSH в к удаленному компьютеру, но все еще просьба о пароле - 9 January 2013 16:26 
                            14 
  Политика / правило SELinux, заставляющее Apache обслуживать ресурсы по абсолютному пути вместо корень документа [дубликат]  - 5 September 2014 22:44 
                            14 
 Почему нам нужен SELinux? - 5 November 2018 04:53 
                            11 
 Реальный пример безопасности SELinux? - 2 September 2009 15:33 
                            9 
  Как я могу сказать SELinux разрешить nginx доступ к сокету unix без audit2allow?  - 13 April 2017 15:14 
                            9 
 SELinux делает Redhat более безопасным? - 4 September 2015 08:32 
                            8 
 Запишите однажды, считайте много (WORM) с помощью файловой системы Linux - 26 October 2013 00:08 
                            7 
 SELinux - канонический способ автоматического применения контекста на создании файла - 16 August 2013 13:48 
                            7 
 SElinux: Как измениться на разрешающий режим без перезагрузки? - 19 March 2012 23:35 
                            7 
  SELinux: Как создать новый тип файла  - 13 April 2017 15:37 
                            6 
 SELinux в реальном мире - 30 July 2009 10:52 
                            6 
  MariaDB не запускается (NO_NEW_PRIVILEGES) [дубликат]  - 20 March 2017 12:16

score 2 · Answer 1 · 3 December 2019 в 06:57

Пользователь Selinux не ограничен при использовании su

Некоторые приложения или помощники используют PAM для получения/установки ограничений SELinux. SSHD, например, требует, чтобы пользовательские ограничения SELinux были включены в UsePAM yes. В зависимости от ваших политик SELinux и булеанов, вы можете обойти ограничения при использовании некоторых помощников, таких как su или sudo, а также в зависимости от того, как они выполняются. Это требует понимания того, какие переходы разрешены в политике SELinux.

Если Мэри входит в систему через SSH и UsePAM yes установлен, то они должны быть ограничены, как и ожидалось, и ваш булеан должен вступить в силу.

.