Дать доступ в интернет только root'у

[Shtorm007]

Здравствуйте. Стоит следущая задача. Комп подключен к инету через локалку, без запроса логин-пароль. Идентификация по mac и IP. Как можно запретить доступ в инет обычному пользователю, но чтобы осталась возможность выйти через рутовые права. Или не рутовые, но с запросом пароля.
Пробовал поднять прокси. Но так как инет локально подключен, то стоило в настройках браузера убрать галочку "прокси" - и инет в полном доступе.

[tartan]

А сильно прошаренные пользователи? Сменить владельца файла firefox и чмод ему на исполнение только владельцем. Другой браузер установить без синаптика затруднительно, а синаптик рутовский пароль спросит.

Найти браузер:

whereis браузер

потом - chmod и chown с нужными опциями.

Впрочем, я не специалист и не пробовал это решение на практике.

[Shtorm007]

Спасибо за совет. Думаю, вполне просто и логичное решение.

[Chromium]

https://forum.ubuntu.ru/index.php?topic=40584.0

Можно /etc/resolv.conf залочить через chmod

[tartan]

Что совой об пенёк, что пеньком об сову. ) А по вашему варианту можно по айпишнику в сетку вылезти. Минуя нэймсервер. Нет? )

По моему варианту - накачать вгетом гигабайты всякой хреноты. Я почему и спрашиваю, сильно ли прошаренные пользователи. )

[mbmx]

У iptables есть замечательный модуль owner...

Пишем:

# iptables -A OUTPUT -d ! 127.0.0.1 -p tcp -m owner --uid-owner 0 -j ACCEPT
# iptables -A OUTPUT -d ! 127.0.0.1 -p udp -m owner --uid-owner 0 -j ACCEPT
# iptables -A OUTPUT -d ! 127.0.0.1 -j DROP

И счастливо наблюдаем как все юзвери, не имеющие UID = 0 обламываются Правда так же могут обломаться некоторые сервисы, которые запускаются с не рутовским UID, кот. кстати, равен 0...

Чтоб разрешить и сервисам ходить в инет - добавляем такие же разрешающие правила и для них, только предварительно выясняем их UID и подставляем вместо 0. Обратите внимание - разрешающие (ACCEPT) правила должны быть ПЕРЕД запрещающим (DROP), иначе дойдя до запрещающего на нем и остановятся...

А так - http://iptables-tutorial.frozentux.net/iptables-tutorial.html. Рекомендую прочитать внимательно, а лучше всего хорошо изучить - файрволить надо уметь, т.к. это залог безопасности и крепкого сна

Всего хорошего

[mbmx]

Еще, вариант... Завернуть трафик на squid, а там с помощью auth_param (http://www.squid-cache.org/Doc/config/auth_param/) по парольчику отрулить кому можно, а кому нельзя ходить в инет.

Завернуть типа так:

# iptables -A OUTPUT -d ! 127.0.0.1 -p tcp -m multiport --dports 80,81,82,3128,8000,8080 -m owner --gid-owner 20 -j ACCEPT
# iptables -A OUTPUT -d ! 127.0.0.1 -p tcp -m multiport --dports 80,81,82,3128,8000,8080 -j REDIRECT --to-port 3128

, где --gid-owner 20 - есть GID прокси squid (у Вас может быть другой, так что консультируемся тут: # cat /etc/passwd или # id squid).

[tartan]

Во. Правильный вариант. )) Форум рулит. )

[forumreader]

А файерволом запретить определенным программам доступ в сеть нельзя?

[mbmx]

Ну по сути можно... Запускаешь программу с известным тебе UID или GID и рубаешь ее таким же точно правилом в iptables, как я привел выше Как запустить прогу с определенными UID, GID - вопрос другой и зависит от самой проги...
Да и потом... Если известны порты, по которым работает программа - режем порты все тем же iptables и опаньки

Кстати, на тему файрволлинга - правильный файрвол строится по деспотичному принципу: запрещено все, что явно не разрешено. Т.о. стоит поступить так - закрыть все, а потом открыть только то, что конкретно нужно. Это самый правильный вариант. Только настройку этого файрвола ни в коем случае нельзя производить удаленно, т.к. легко рубается сервис через который мы находимся на этой машине и усе, приплывон Из личного опыта - когда-то, давным-давно настраивал файрвол на машинке, кот. находилась в 3000 км. от меня... И закрыл сам себе доступ по ssh Благо было кому позвонить и продиктовать команды...

[Shtorm007]

Всем спасибо Squid & Iptables рулят.

[mbmx]

То что они рулят конечно же хорошо... Вот только для истории, так сказать, опиши решение - последующие поколения будут тебе благодарны

[andy7d0]

2forumreader
iptables --cmd-owner