Запрет на выход в локальную сеть

[Lord Vampire]

Всем опять здрасте Появился у меня тут один вопрос, может кто знает ответ. Как можно на Ubuntu запретить пользователям выходить в локальную сеть? Пробовал через iptables. Но там локальное соединение использует порты от 38000 до 60000. Если их дропнуть, этот диапазон задевает работу firefox и не выходит в интернет. Что посоветуете?

[anubis_donetsk]

если сеть 192.168.0.0/24 и шлюз 192.168.0.1

тогда


iptables -A OUTPUT -m iprange --dst-range 192.168.0.2-192.168.0.255  -j DROP

[fisher74]

Капец у Вас почерк....

iptables -A OUTPUT -m iprange --dst-range 192.168.0.2-192.168.0.255 -j DROP

тогда уж так
iptables -A OUTPUT -d 192.168.0.0/24 -j DROP
Но я сам вопрос не понял. Не проще выдернуть шнурок в локалку?

[anubis_donetsk]

тогда уж так
iptables -A OUTPUT -d 192.168.0.0/24 -j DROP
Но я сам вопрос не понял. Не проще выдернуть шнурок в локалку?

инет нужен, как я понял, нужно анально оградится от локалки, но инет оставить, потому и предложил вариант с модулем.

[Lord Vampire]

тогда уж так
iptables -A OUTPUT -d 192.168.0.0/24 -j DROP
Но я сам вопрос не понял. Не проще выдернуть шнурок в локалку?

инет нужен, как я понял, нужно анально оградится от локалки, но инет оставить, потому и предложил вариант с модулем.

Да, все верно. Оградится нужно именно от локальной сети. То есть ssh, ftp smtp, pop и многое другое мне не мешает, а интернет более чем нужен=) А вот как оградиться от локалки для меня вопрос
При подключении к локальному серверу 10.5.4.10 нетстат выдает вот такую весч
tcp        0      0 10.5.14.210:54336       10.5.4.10:139           ESTABLISHED 17845/gvfsd-smb-bro
порты идут от 38000 до 60000 как я говорил (исходящий) что за служба gvfsd-smb-bro я не знаю. в списках /etc/services ее нет. Можно как-то ограничить по службе? Пробовал через тот же iptables - не получилось.

[ArcFi]

Как можно на Ubuntu запретить пользователям выходить в локальную сеть?

Зачем? Со стороны выглядит, будто вы решаете проблему не с того конца.

[Lord Vampire]

Как можно на Ubuntu запретить пользователям выходить в локальную сеть?

Зачем? Со стороны выглядит, будто вы решаете проблему не с того конца.

Как я уже говорил, я сделал терминальный сервер для доступа в интернет. Надо не дать пользователям кидать скачанные файлы в сеть.

[anubis_donetsk]

Как я уже говорил, я сделал терминальный сервер для доступа в интернет. Надо не дать пользователям кидать скачанные файлы в сеть.

как пользователи "кидают в сеть" файлы? ftp smb?

[Scorry]

Как можно на Ubuntu запретить пользователям выходить в локальную сеть?

Зачем? Со стороны выглядит, будто вы решаете проблему не с того конца.

Как я уже говорил, я сделал терминальный сервер для доступа в интернет. Надо не дать пользователям кидать скачанные файлы в сеть.

Скачанные откуда и куда? Где находятся файлы, скачанные (кам-то) из интернета? Почему какие-то пользователи имеют к ним доступ?

[Lord Vampire]

Как можно на Ubuntu запретить пользователям выходить в локальную сеть?

Зачем? Со стороны выглядит, будто вы решаете проблему не с того конца.

Как я уже говорил, я сделал терминальный сервер для доступа в интернет. Надо не дать пользователям кидать скачанные файлы в сеть.

Скачанные откуда и куда? Где находятся файлы, скачанные (кам-то) из интернета? Почему какие-то пользователи имеют к ним доступ?

Потому что эти пользователи их и скачали =)))) файлы находятся в домашней папке. Насколько знаю ограниченная учетная запись не имеет больше прав куда либо, что либо записывать.
Пользователь решил продолжить мысль 25 Июня 2013, 15:10:40:

Как я уже говорил, я сделал терминальный сервер для доступа в интернет. Надо не дать пользователям кидать скачанные файлы в сеть.

как пользователи "кидают в сеть" файлы? ftp smb?

как видно из названия службы это smb.

[anubis_donetsk]

Автор - учите матчасть.
Как я понял юзер сказал фильм и с его компа все копируют этот фильм себе.
Вариант с iptables который я выше озвучил пробовали?

[ArcFi]

Как я уже говорил, я сделал терминальный сервер для доступа в интернет. Надо не дать пользователям кидать скачанные файлы в сеть.

А, вспомнил ваш прошлый топик.

Проблема решается тем же способом:

2) дропнуть исходящий трафик, если юзер не root/squid/etc.

[Lord Vampire]

Автор - учите матчасть.
Как я понял юзер сказал фильм и с его компа все копируют этот фильм себе.
Вариант с iptables который я выше озвучил пробовали?

Нет вы неправильно поняли. Если кто-то скачал файл. К нему доступ имеет только тот кто его скачал и я (root). Проблема в том что, тот кто его скачал не должен иметь возможности скинуть этот файл в локальную сеть. Другие пользователи с сервака Ubuntu там вообще ничего не смогут себе скопировать даже если очень захотят=)))
Пользователь решил продолжить мысль 25 Июня 2013, 15:19:44:

Как я уже говорил, я сделал терминальный сервер для доступа в интернет. Надо не дать пользователям кидать скачанные файлы в сеть.

А, вспомнил ваш прошлый топик.

Проблема решается тем же способом:

2) дропнуть исходящий трафик, если юзер не root/squid/etc.

Если я так дропну исходящий трафик, разве не накроется и интернет тоже? ведь он идет под тем же уидом юзера

[anubis_donetsk]

Нет вы неправильно поняли. Если кто-то скачал файл. К нему доступ имеет только тот кто его скачал и я (root). Проблема в том что, тот кто его скачал не должен иметь возможности скинуть этот файл в локальную сеть. Другие пользователи с сервака Ubuntu там вообще ничего не смогут себе скопировать даже если очень захотят=)))

Куда юзер может скопировать файлы, если не на сервак?

[Lord Vampire]

Куда юзер может скопировать файлы, если не на сервак?

Сервак тут имеется в виду терминальный. На него заходят при помощи терминал-клиента. И с сервака же сидят в интернете. И на него качают файлы. Надо чтобы они не могли скинуть скачанное в сеть. Для простоты понимания можете понять так - есть десктоп, на нем есть интернет, который идет с сети. То есть с той же сетевухи, что и выходит в локалку. Как запретить доступ в локалку?=)