ユーザーのインターネットアクセスをブロックするが、ネットワークアクセスはブロックしない
こんにちは私はすべてのLinuxマシン(Debian Wheezy)の1人のユーザーがインターネット、チャット、メールを閲覧できないようにブロックしたいと思います。ただし、大判プリンターにはLinuxベースのRipステーションを使用しているため、ローカルネットワーク上のすべてにアクセスできる必要があります。ただし、ローカルネットワークの外部にあるものにアクセスする必要はありません。
iptablesルールを使用して、特定のユーザーの送信トラフィックをブロックします。
このようにして、通過するIPの範囲を完全に制御することもできます(たとえば、LANアドレスブロックのみを許可します)。特定のポートのみをブロックすることもおそらく役立つでしょう。ただし... sshを許可すると、経験豊富なユーザーがトンネルを設定してファイアウォールから抜けます。ローカルマシンへのsshを許可する場合、このファイアウォールは、ユーザーがアクセスできるすべてのマシンに設定する必要があります。それ以外の場合は、最も近い制限のないマシンにトンネリングして、そこからWebにアクセスできます。
それはあなたがどんな種類のユーザーを持っているかによります。ユーザーがsshを使用できる必要があり、本当に彼をブロックしたい場合は、問題があります。 SSHの知識のない非技術系ユーザー向けの場合は、すべての送信トラフィックをブロックし、SSHポートを閉じます。
1つのノードのインターネットへのアウトバウンドアクセスを遮断するだけで、ローカルサブネット上のリソースのみが必要であることが確実な場合は、そのホストのデフォルトゲートウェイルートを削除します。
ip route delete <gateway address> dev <interface>