Restringir a quais redes um usuário pode se conectar

Você pode fazer isso, primeiro para o nome de usuário da missão, descubra-o UIDusando ido comando, assumindo que o nome de usuário seja "convidado", você executaria:

id -u guest

Que, por exemplo, produz1100

Em seguida, descubra a interface WIFI que, por exemplo, é chamada de comando wlan0
run ippara mostrar interfaces e descobrir o nome da placa wifi.

Em seguida, no nftablesscript, defina variáveis ​​que contenham esses valores:

#!/usr/sbin/nft -f

define guest_user = 1100
define wlan_nic = "wlan0"

Em seguida, crie uma regra que corresponda a este usuário e restrinja-a à interface wifi.
assumindo filterque é ip tablee a saída é ip chaindeclarada em algum lugar

#!/usr/sbin/nft -f

add rule filter output meta skuid $guest_user meta oifname $wlan_nic accept

Lembre-se de que using meta skuidé válido apenas para regras de saída, o tráfego de entrada vem de outro host e não carrega essas informações.

Se precisar de filtragem específica com base nesse esquema, você pode usar jumpo veredicto para pular para a cadeia específica do convidado, por exemplo:

#!/usr/sbin/nft -f

add chain filter guest_out_chain {
    comment "chain for guest"
}

add rule filter output meta skuid $guest_user meta oifname $wlan_nic jump guest_out_chain

E então faça a filtragem específica do convidado nessa guest_out_chaincadeia sem precisar especificar meta skuid $guest_user meta oifname $wlan_niccada vez.

Você também pode criar regras da mesma forma que se aplica a algum guestsgrupo se houver vários convidados, mas em vez de meta skuidusar meta skgid GIDonde GIDestá o ID do grupo