web-dev-qa-db-ja.com

ユーザーのインターネットアクセスをブロックするが、ネットワークアクセスはブロックしない

こんにちは私はすべてのLinuxマシン(Debian Wheezy)の1人のユーザーがインターネット、チャット、メールを閲覧できないようにブロックしたいと思います。ただし、大判プリンターにはLinuxベースのRipステーションを使用しているため、ローカルネットワーク上のすべてにアクセスできる必要があります。ただし、ローカルネットワークの外部にあるものにアクセスする必要はありません。

4
user25951

iptablesルールを使用して、特定のユーザーの送信トラフィックをブロックします。

http://www.cyberciti.biz/tips/block-outgoing-network-access-for-a-single-user-from-my-server-using-iptables.html

このようにして、通過するIPの範囲を完全に制御することもできます(たとえば、LANアドレスブロックのみを許可します)。特定のポートのみをブロックすることもおそらく役立つでしょう。ただし... sshを許可すると、経験豊富なユーザーがトンネルを設定してファイアウォールから抜けます。ローカルマシンへのsshを許可する場合、このファイアウォールは、ユーザーがアクセスできるすべてのマシンに設定する必要があります。それ以外の場合は、最も近い制限のないマシンにトンネリングして、そこからWebにアクセスできます。

それはあなたがどんな種類のユーザーを持っているかによります。ユーザーがsshを使用できる必要があり、本当に彼をブロックしたい場合は、問題があります。 SSHの知識のない非技術系ユーザー向けの場合は、すべての送信トラフィックをブロックし、SSHポートを閉じます。

3
orion

1つのノードのインターネットへのアウトバウンドアクセスを遮断するだけで、ローカルサブネット上のリソースのみが必要であることが確実な場合は、そのホストのデフォルトゲートウェイルートを削除します。

ip route delete <gateway address> dev <interface>
2
wesley