jes*_*199 3 linux firewall iptables
我有一个允许用户登录的 Debian 服务器。我不介意他们访问网络或下载文件,但我想以其他方式限制他们从那台机器访问互联网。我应该如何设置我的 IPTABLES 或其他防火墙以使其轻松工作?
swe*_*joe 15
从技术角度来看,这实际上非常棘手(网络层通常对用户一无所知;网络数据包中没有“用户”字段)。
但是,Linux 非常棒,确实为您提供了解决方案。您将需要 iptables 的“所有者”模块,并遵循以下规则:
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -m owner --uid-owner 500 -j DROP
其中“500”是您想阻止上网的用户的 UID。第一条规则只允许所有出站端口 80 流量。
您可能需要先加载所有者模块,然后才能工作:
modprobe ipt_owner
因此,将其添加到您的 rc.local 文件或类似文件中。当然,这假设您的系统已安装此模块。我不知道 Debian 上提供了什么软件包。它可能在标准的 iptables 包中。
另一种选择是在某处配置代理服务器 (Squid),允许一般匿名互联网访问,但需要登录才能执行其他任何操作。然后在防火墙阻止来自您的服务器的访问,但允许代理通过。
如果你只有一台机器,我会回应 swelljoe 的建议。或者,如果您愿意,可以将这两个想法结合起来,使一切变得更加精细:)
| 归档时间: |
|
| 查看次数: |
473 次 |
| 最近记录: |