jes5199 Asked: 2009-06-01 16:39:36 +0800 CST2009-06-01 16:39:36 +0800 CST 2009-06-01 16:39:36 +0800 CST 您如何为 Linux 设置防火墙以使非特权帐户只能访问 Web? 772 我有一个允许用户登录的 Debian 服务器。我不介意他们访问网络或下载文件,但我想限制他们从该机器访问 Internet。我应该如何设置我的 IPTABLES 或其他防火墙才能轻松完成这项工作? firewall linux iptables 6 个回答 Voted Best Answer swelljoe 2009-06-01T17:14:13+08:002009-06-01T17:14:13+08:00 从技术角度来看,这实际上非常棘手(网络层通常对用户一无所知;网络数据包中没有“用户”字段)。 但是,Linux 非常棒,它确实为您提供了解决方案。您将需要 iptables “所有者”模块,并遵循以下规则: iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -o eth0 -m owner --uid-owner 500 -j DROP 其中“500”是您要阻止上网的用户的 UID。第一条规则只允许所有出站端口 80 流量。 您可能需要先加载所有者模块,然后才能使用: modprobe ipt_owner 因此,将其添加到您的 rc.local 文件或类似文件中。当然,这假设您的系统已安装此模块。我不知道 Debian 上提供了什么软件包。它可能在标准的 iptables 包中。 MikeyB 2009-06-01T17:38:24+08:002009-06-01T17:38:24+08:00 另一种选择是在某处配置代理服务器(Squid),允许一般匿名互联网访问,但需要登录才能执行其他任何操作。然后在防火墙处阻止来自您的服务器的访问,但允许代理通过。 如果你只有一台机器,我会回应 swelljoe 的建议。或者,如果您愿意,可以将这两个想法结合起来,让一切变得更加细化:) bobby 2009-06-01T16:48:25+08:002009-06-01T16:48:25+08:00 我怀疑您会简单地阻止主机的所有入站和出站端口,但端口 22 (ssh) 和 80 (web) 除外。如果您自己使用这台计算机并帮助一些朋友学习,并且需要电子邮件、即时消息等内容,我建议您为他们创建一个只能访问特定应用程序列表的特殊组。我认为您可能需要指定这是您的独立服务器还是工作站+他们的服务器。 Cristian Ciupitu 2009-06-01T17:54:01+08:002009-06-01T17:54:01+08:00 您可以为此使用 SELinux 策略,但不幸的是,设置它比 iptables 解决方案要复杂一些。 Blitz 2009-08-03T07:48:23+08:002009-08-03T07:48:23+08:00 我曾经使用 squid 和“名称”的组合来执行此操作 - 一个提供当前用户名的非常古老的 linux/unix 服务。一般来说,名称是一个非常糟糕的主意(因为它未加密,你可以很容易地修改它;它被 irc btw 使用)但是对于一组已知的机器,它工作得很好 David 2009-08-04T18:00:51+08:002009-08-04T18:00:51+08:00 您正在寻找代理以及 iptables 规则。使用 iptables 限制端口访问并将流量重定向到代理。在代理中,您过滤您想要/不想通过的内容。(所有者模块仅适用于在防火墙本身上创建的数据包,而不是来自您的网络的数据包。)
从技术角度来看,这实际上非常棘手(网络层通常对用户一无所知;网络数据包中没有“用户”字段)。
但是,Linux 非常棒,它确实为您提供了解决方案。您将需要 iptables “所有者”模块,并遵循以下规则:
其中“500”是您要阻止上网的用户的 UID。第一条规则只允许所有出站端口 80 流量。
您可能需要先加载所有者模块,然后才能使用:
modprobe ipt_owner
因此,将其添加到您的 rc.local 文件或类似文件中。当然,这假设您的系统已安装此模块。我不知道 Debian 上提供了什么软件包。它可能在标准的 iptables 包中。
另一种选择是在某处配置代理服务器(Squid),允许一般匿名互联网访问,但需要登录才能执行其他任何操作。然后在防火墙处阻止来自您的服务器的访问,但允许代理通过。
如果你只有一台机器,我会回应 swelljoe 的建议。或者,如果您愿意,可以将这两个想法结合起来,让一切变得更加细化:)
我怀疑您会简单地阻止主机的所有入站和出站端口,但端口 22 (ssh) 和 80 (web) 除外。如果您自己使用这台计算机并帮助一些朋友学习,并且需要电子邮件、即时消息等内容,我建议您为他们创建一个只能访问特定应用程序列表的特殊组。我认为您可能需要指定这是您的独立服务器还是工作站+他们的服务器。
您可以为此使用 SELinux 策略,但不幸的是,设置它比 iptables 解决方案要复杂一些。
我曾经使用 squid 和“名称”的组合来执行此操作 - 一个提供当前用户名的非常古老的 linux/unix 服务。一般来说,名称是一个非常糟糕的主意(因为它未加密,你可以很容易地修改它;它被 irc btw 使用)但是对于一组已知的机器,它工作得很好
您正在寻找代理以及 iptables 规则。使用 iptables 限制端口访问并将流量重定向到代理。在代理中,您过滤您想要/不想通过的内容。(所有者模块仅适用于在防火墙本身上创建的数据包,而不是来自您的网络的数据包。)