Nehmen wir an, es gibt zwei Benutzer im LAN, A und B. Wie schränke ich den Internetzugang von Benutzer A ein, indem ich iptables-Regeln verwende und die Regeln speichere, damit sie nach dem Neustart noch wirksam sind. Angenommen, ich möchte diesem Benutzer irgendwann Zugriff gewähren. wie aktiviere ich es wieder? Ich verwende Ubuntu Linux 10.04. Es wäre nett, wenn mir jemand zeigen würde, wie man das von der Kommandozeile aus macht, da ich mich oft mit einem lokalen ssh-Login auf dem Rechner anmelde.
Akzeptierte Antwort:
Ich gehe davon aus, dass die Benutzer A und B dieselben Linux-Computer verwenden, auf denen Sie der Administrator sind. (Aus Ihrer Frage geht nicht ganz klar hervor. Wenn A und B ihre eigenen Computer haben, auf denen sie Administratoren sind, ist das ein ganz anderes Problem.)
Der folgende Befehl hindert den Benutzer mit der UID 1234 daran, Pakete auf der Schnittstelle eth0 zu senden :
iptables -t mangle -A OUTPUT -o eth0 -m owner --uid-owner 1234 -j DROP
ip6tables -t mangle -A OUTPUT -o eth0 -m owner --uid-owner 1234 -j DROP
Ich empfehle die Lektüre des Ubuntu-iptables-Leitfadens, um sich mit dem Tool vertraut zu machen (und konsultieren Sie die Manpage für fortgeschrittene Dinge wie die Mangle-Tabelle).
Der Benutzer kann weiterhin ping ausführen (weil es sich um setuid root handelt), aber sonst nichts. Der Benutzer kann sich weiterhin mit einem lokalen Proxy verbinden, wenn dieser Proxy von einem anderen Benutzer gestartet wurde.
Um diese Regel zu entfernen, fügen Sie -D hinzu zum obigen Befehl.
Um die Regel dauerhaft zu machen, fügen Sie sie zu /etc/network/if-up.d/my-user-restrictions hinzu (machen Sie daraus ein ausführbares Skript, das mit #!/bin/sh beginnt ). Oder verwenden Sie iptables-save (Weitere Informationen finden Sie im Ubuntu-iptables-Handbuch).