Как запретить одному из пользователей выход в Интернет

[sljan]

У меня следующая ситуация. В организации где я работаю есть мой личный компьютер за которым работают четыре разных пользователя. Один из пользователей злоупотребляет порнографией, что в данном случае не приемлемо.
1. Учетные записи всех пользователей обязательны.
2. Устные беседы не продуктивны.
3. Имею административные (но не кадровые ) полномочия.
4. Решено лишить данного пользователя прав на пользование internet.
Пожалуйста поделитесь кто как видит решение данного вопроса.

[Mam(O)n]

sudo iptables -A OUTPUT -m owner --uid-owner имя_пользователя -j DROP

[Rakshas]

Если комп на линуксе и у того юзера нет прав администратора, можно запретить ему запуск браузеров.

[sljan]

sudo iptables -A OUTPUT -m owner --uid-owner имя_пользователя -j DROP

Не работает.
Пробовал задавать адрес отправителя и получателя.
Пробовал имя пользователя и UID.
Пробовал с перезагрузкой, завершением сеанса и без.
Читал man iptebles.
Не работает.

[Mam(O)n]

Ну а как оно прописалось смотрел? sudo iptables-save
Пользователь решил продолжить мысль 20 Октября 2010, 00:34:41:зы. ICMP оно не блокирует

[Durman]

Debian. Блокировка прекрасно работает. Даже ICMP. Только что протестил

[ukko]

просто правила IPTABLE нужно сохранять, так как они действуют до перезагрузки. А автору топика про это не сказали

Автор, Попробуйте это правило добавить в файл /etc/rc.local

[sljan]

Ну а как оно прописалось смотрел? sudo iptables-save

-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.100/32 -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.0/24 -d 192.168.0.0/24 -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.0/24 -d 192.168.0.0/24 -m owner --uid-owner dima -j DROP
-A OUTPUT -s 255.255.255.0/24 -d 255.255.255.0/24 -m owner --uid-owner dima -j DROP

[Mam(O)n]

Это не полный вывод iptables-save. Другие правила есть?

[sljan]

Это не полный вывод iptables-save. Другие правила есть?

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Tue Oct 19 23:54:26 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [2124:122653]
:OUTPUT ACCEPT [2124:122653]
COMMIT
# Completed on Tue Oct 19 23:54:26 2010
# Generated by iptables-save v1.4.4 on Tue Oct 19 23:54:26 2010
*mangle
:PREROUTING ACCEPT [8593:6027949]
:INPUT ACCEPT [8593:6027949]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9469:1526268]
:POSTROUTING ACCEPT [9454:1525176]
COMMIT
# Completed on Tue Oct 19 23:54:26 2010
# Generated by iptables-save v1.4.4 on Tue Oct 19 23:54:26 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:239]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 10.63.0.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 10.63.0.1/32 -p udp -j ACCEPT
-A INPUT -s 192.168.0.100/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.0.100/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
-A INPUT -d 192.168.0.255/32 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth0 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -s 192.168.0.101/32 -d 10.63.0.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 10.63.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 192.168.0.100/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 192.168.0.100/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.100/32 -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.0/24 -d 192.168.0.0/24 -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.0/24 -d 192.168.0.0/24 -m owner --uid-owner dima -j DROP
-A OUTPUT -s 255.255.255.0/24 -d 255.255.255.0/24 -m owner --uid-owner dima -j DROP
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT
# Completed on Tue Oct 19 23:54:26 2010

[censor]

одного правила
-A OUTPUT -m owner --uid-owner dima -j DROP
должно быть достаточно чтобы полностью блокировать исходящие соединения пользователю

[Durman]

Ну а как оно прописалось смотрел? sudo iptables-save

-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.100/32 -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.0/24 -d 192.168.0.0/24 -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.0/24 -d 192.168.0.0/24 -m owner --uid-owner dima -j DROP
-A OUTPUT -s 255.255.255.0/24 -d 255.255.255.0/24 -m owner --uid-owner dima -j DROP

надо по UID блокировать,  а не по буквенному имени пользователя.

P.S. оказалось по алфавитному имени тоже работает =)

[Mam(O)n]

Ну естественно, включенный тобой ufw всё разрешает до этих правил... Добавляй тогда в начало цепочки:

Код: [Выделить]

iptables -I OUTPUT -m owner --uid-owner dima -j DROP Пользователь решил продолжить мысль 20 Октября 2010, 00:59:33:

надо по UID блокировать,  а не по буквенному имени пользователя.

Это еще почему?

[sljan]

Durman. Я в том числе использовал и UID, но прописывается в правила с именем.

[censor]

а не проще
ufw disable