Ich gehe davon aus, dass die Benutzer A und B dieselben Linux-Computer verwenden, auf denen Sie der Administrator sind. (Aus Ihrer Frage geht nicht ganz klar hervor. Wenn A und B ihre eigenen Computer haben, auf denen sie Administratoren sind, ist das ein ganz anderes Problem.)
Der folgende Befehl hindert den Benutzer mit UID 1234 daran, Pakete auf der Schnittstelle eth0
zu senden :
iptables -t mangle -A OUTPUT -o eth0 -m owner --uid-owner 1234 -j DROP
ip6tables -t mangle -A OUTPUT -o eth0 -m owner --uid-owner 1234 -j DROP
Ich empfehle die Lektüre des Ubuntu-iptables-Leitfadens, um sich mit dem Tool vertraut zu machen (und konsultieren Sie die Manpage für fortgeschrittene Dinge wie die Mangle-Tabelle).
Der Benutzer kann weiterhin ping ausführen (weil es setuid root ist), aber sonst nichts. Der Benutzer kann sich weiterhin mit einem lokalen Proxy verbinden, wenn dieser Proxy von einem anderen Benutzer gestartet wurde.
Um diese Regel zu entfernen, fügen Sie -D
hinzu zum obigen Befehl.
Um die Regel dauerhaft zu machen, fügen Sie sie zu /etc/network/if-up.d/my-user-restrictions
hinzu (machen Sie daraus ein ausführbares Skript, das mit #!/bin/sh
beginnt ). Oder verwenden Sie iptables-save
(Weitere Informationen finden Sie im Ubuntu-iptables-Handbuch).