Mam strasznie głupi problem. Generalnie wkurzyły mnie abuses z IRCa,
a nie chcę robić w jajo tych, którzy zapłacili za domenę, więc robię
IRCa na hasło. Wszystko jest super, teoretycznie nawet działa, tylko
brakuje mi jednej rzeczy. Tunel łącząc sie z ircserwerem musi ominąć
iptables :) Inaczej łączy się sam ze sobą. Matchowanie po userze
odpada, bo tunel przed otworzeniem połączenia z ircserwerem zrzuca
uprawnienia roota na użytkownika, który chce się połączyć (żeby
ident nie marudził, a nie mogę zrobić embedded identa, bo to ma
być bardzo łatwo usuwalne, takie założenia), wyłączanie regułki
iptables też, bo po pierwsze to race condition, a po drugie musiałbym
forkować childa, który by mi to przywrócił po tym jak się połączę (bo
po połączeniu mam już uprawnienia użytkownika i nie zdobędę roota,
potrzebnego do grzebania w iptables). Jak to najprościej zrobić?
Tunel jest odpalany z prawami roota. Tymczasowe źródła są pod
http://www.gophi.apcoh.org/projekty/kline.c. Pomożecie? Chodzi
generalnie o connecta po komentarzu:

        /* yeah, connecting to myself, remember about the redirector
           rule in the NAT, I don't have any idea how to solve this */

Przy okazji, jeśli są jakieś dziury, któych nie zauważyłem, napiszcie.
TIA i w miarę możliwości odpisujcie dołączając mnie na priva, bo mi
newsserwer gubi feeda :/

E? Jakie abuses? Niektórzy użytkownicy zle sie zachowuja?
To moze lepiej im podziekowac za wspolprace zanim zaabusuja serwer?

Zrób objazd.

No, generalnie chodzi o to, że to nieświadomi userzy, np.
mogą wejść na #uptime nieświadomi konsekwencji (pakietowania),
nie są źli, ale ja wolę dmuchać na zimne. Nie wyfiltruję IRCa
całkowicie, bo parę osób (w tym z tego co pamiętam ty, ale nie
jestem pewien, bo byłem za bardzo pijany :p) zrobiło zrzutkę
na domenę, ale reszcie (czyli osobom spoza apcoha) wytnę IRCa,
bo to niepotrzebne, a tylko stwarza ryzyko. Generalnie ludzie
z apcoha będą mieli :) Jak skończę (a prawie skończyłem),
dostaniecie maile z hasłami, albo prośby o własne hasła,
i instrukcje, jak się łączyć (generalnie zamiast /server
warszawa.irc.pl będzie /server warszawa.irc.pl 6667 hasło).
O :)

PS. Tak, wiem, matchowanie po ownerze, ale z jakichś powodów
(nie pamiętam już z jakich) odrzuciłem tę możliwość.

A nie wolałbyś zamiast tych kombinacji, jakichś tuneli i innych cudów,
poprostu umozliwic pewnej grupie ludzi wyjscie na porty 6660-6670,
a pozostałym dać zablokować (np. "unreach port") ?

pewnie używasz leniucha i iptables, więc hint dla twojego systemu
brzmi: "-m owner" ;)

Myślałem, że jesteś obrażony na to TWA.

Nie, bo to jest standardowe rozwiązanie :)