Как заблокировать все исходящие соединения от конкретного пользователя, кроме localhost?

Rayne

31.07.2023, 10:42

Я хочу заблокировать все исходящие соединения от определенного пользователя пользователь после того, как они подключились к моему серверу (под управлением RHEL 7.4), т.е. пользователь не должен иметь возможности подключаться/пинговать другие серверы в сети по ssh.

Я изначально настроил следующее брандмауэр-cmd правило, и это работало.

firewall-cmd --direct --permanent --add-rule фильтр ipv4 ВЫВОД 0 -m owner --uid-owner user -j DROP

Однако, пользователь теперь требуется доступ к Jupyter Notebook, который также работает на том же сервере (http://локальный:8888), но не смог. Произошла ошибка о веб-сокете. Как только вышеприведенное правило брандмауэра было удалено, пользователь может получить доступ к ноутбуку.

я не знаю почему пользователь не смог получить доступ локальный хост, потому что я думал, что правило блокирует только исходящие соединения.

Как я могу разрешить пользователь получить доступ локальный хост на любом порту или определенном диапазоне портов, при этом блокируя доступ к сети везде?

0 + 0

брандмауэр-cmd

djdomi

31.07.2023, 15:26

добавить исключение?

Ответить

Rayne

01.08.2023, 03:36

Спасибо, попробую.

Ответить

Рейтинг:2

Server

Alfredo Campos Enríquez

31.07.2023, 16:35

Как упоминал djdomi, вы хотели бы добавить исключение перед тем правилом DROP, которое у вас уже есть. Это может сработать

firewall-cmd --direct --permanent --add-rule фильтр ipv4 ВЫВОД 0 -m owner --uid-owner пользователь --dport=8888 -j ПРИНЯТЬ

Поместите его перед правилом, которое у вас уже есть.

0 + 0

Rayne

01.08.2023, 03:37

Мне было интересно, какое исключение добавить. Я видел ответ в Интернете, где добавлено исключение `-o lo`, чтобы разрешить локальные службы, поэтому я попробую это и порт, как вы предложили. Вы знаете, почему правило DROP не разрешало доступ к локальному хосту? Я думал, что он должен блокировать только исходящие соединения, а доступ к 127.0.0.1 все равно должен быть разрешен. Или он блокирует все порты вне зависимости от IP (внутренний или нет)?

Ответить

djdomi

02.08.2023, 18:29

Deny — это Deny, и он будет влиять всегда первым. если вы не позволите ей отказано. это самый простой способ объяснить процесс и ситуацию

Ответить

Admin

Этот вопрос на других языках:

EN: How to block all outgoing connections from a particular user except localhost?

TH: จะบล็อกการเชื่อมต่อขาออกทั้งหมดจากผู้ใช้เฉพาะได้อย่างไร ยกเว้น localhost

RO: Cum să blochezi toate conexiunile de ieșire de la un anumit utilizator, cu excepția localhost?

RU: Как заблокировать все исходящие соединения от конкретного пользователя, кроме localhost?

VI: Làm cách nào để chặn tất cả các kết nối gửi đi từ một người dùng cụ thể ngoại trừ máy chủ cục bộ?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.