Как запретить одному из пользователей выход в Интернет

[sljan]

просто правила IPTABLE нужно сохранять, так как они действуют до перезагрузки.

ukko, я пробовал в том числе не выходя из сеанса изменяя правила из под параллельно запущенного сеанса другого пользователя (Я забил ему права администратора ).
Пользователь решил продолжить мысль 20 Октября 2010, 01:12:41:

а не проще
ufw disable

А что мне дает остановка фаервола?

[Mam(O)n]

А что мне дает остановка фаервола?

Читай мой предыдущий комментарий
Пользователь решил продолжить мысль 20 Октября 2010, 01:16:46:И убери под спойлер выводы. Небось самому скролить уже надоело...

[sljan]

Еще рассматривал варианты такие как
1. ifconfig eth0 down при загрузке, а потом скриптом для каждого пользователя поднимать.
2. можно задействовать ~/profile
3. можно тупо убрать connect с панели и браузеры из меню.
Кроме корявости решений появляются дыры в безопасности.
Однако не стесняйтесь, пожалуйста, любые решения интересны!
Пользователь решил продолжить мысль 20 Октября 2010, 01:31:49:

Ну естественно, включенный тобой ufw всё разрешает до этих правил...

Отключил ufw  не помогло

[Mam(O)n]

Отключил ufw   не помогло

Ну и пруф в виде sudo iptables-save в студ под кат!

[sljan]

Отключил ufw   не помогло

Ну и пруф в виде sudo iptables-save в студ под кат!

(Нажмите, чтобы показать/скрыть)

root@woker-desktop:~# ufw disable
Фаервол остановлен и деактивирован при загрузке
root@woker-desktop:~# iptables-save
# Generated by iptables-save v1.4.4 on Wed Oct 20 00:37:26 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [2609:150646]
:OUTPUT ACCEPT [2609:150646]
COMMIT
# Completed on Wed Oct 20 00:37:26 2010
# Generated by iptables-save v1.4.4 on Wed Oct 20 00:37:26 2010
*mangle
:PREROUTING ACCEPT [10849:6951624]
:INPUT ACCEPT [10849:6951624]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [12406:2603978]
:POSTROUTING ACCEPT [12388:2602766]
COMMIT
# Completed on Wed Oct 20 00:37:26 2010
# Generated by iptables-save v1.4.4 on Wed Oct 20 00:37:26 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 10.63.0.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 10.63.0.1/32 -p udp -j ACCEPT
-A INPUT -s 192.168.0.100/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.0.100/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
-A INPUT -d 192.168.0.255/32 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth0 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -s 192.168.0.101/32 -d 10.63.0.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 10.63.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 192.168.0.100/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 192.168.0.100/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.100/32 -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.0/24 -d 192.168.0.0/24 -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.0/24 -d 192.168.0.0/24 -m owner --uid-owner dima -j DROP
-A OUTPUT -s 255.255.255.0/24 -d 255.255.255.0/24 -m owner --uid-owner dima -j DROP
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT
# Completed on Wed Oct 20 00:37:26 2010

[Mam(O)n]

Судя по выводу не отключил. Ну сделай же наконец, как я говорил, добавь это злосчастное правило в начало цепочки OUTPUT.
Пользователь решил продолжить мысль 20 Октября 2010, 01:46:02:Я этот ufw вообще не юзал, но кмк, после ufw disable таблицы надо либо ручками чистить, либо тачку перезагрузить...

[sljan]

Судя по выводу не отключил. Ну сделай же наконец, как я говорил, добавь это злосчастное правило в начало цепочки OUTPUT.

(Нажмите, чтобы показать/скрыть)

root@woker-desktop:~# iptables -R OUTPUT 1 -m owner --uid-owner 1001 -j DROP -v
DROP  all opt -- in * out *  0.0.0.0/0  -> 0.0.0.0/0  owner UID match 1001
root@woker-desktop:~# iptables-save
# Generated by iptables-save v1.4.4 on Wed Oct 20 01:08:31 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [293:17490]
:OUTPUT ACCEPT [295:17590]
COMMIT
# Completed on Wed Oct 20 01:08:31 2010
# Generated by iptables-save v1.4.4 on Wed Oct 20 01:08:31 2010
*mangle
:PREROUTING ACCEPT [619:233377]
:INPUT ACCEPT [619:233377]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [711:110966]
:POSTROUTING ACCEPT [707:110294]
COMMIT
# Completed on Wed Oct 20 01:08:31 2010
# Generated by iptables-save v1.4.4 on Wed Oct 20 01:08:31 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:60]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 10.63.0.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 10.63.0.1/32 -p udp -j ACCEPT
-A INPUT -s 192.168.0.100/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.0.100/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
-A INPUT -d 192.168.0.255/32 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth0 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -m owner --uid-owner dima -j DROP
-A OUTPUT -s 192.168.0.101/32 -d 10.63.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 192.168.0.100/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.0.101/32 -d 192.168.0.100/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A OUTPUT -m owner --uid-owner dima -j DROP
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT
# Completed on Wed Oct 20 01:08:31 2010

Вроде получилось и даже работает. Спасибо.