Katakanlah ada dua pengguna di LAN, A dan B. Bagaimana cara membatasi pengguna A dari akses internet menggunakan aturan iptables dan menyimpan aturan sehingga setelah reboot, mereka masih efektif. Misalkan juga saya ingin memberikan akses pengguna itu di beberapa titik; bagaimana cara mengaktifkannya kembali? Saya menggunakan Ubuntu Linux 10.04. Akan lebih baik jika ada yang menunjukkan kepada saya bagaimana melakukannya dari baris perintah, karena saya sering login ke mesin menggunakan login ssh lokal.
Jawaban yang Diterima:
Saya berasumsi bahwa pengguna A dan B menggunakan mesin Linux yang sama di mana Anda adalah administratornya. (Tidak sepenuhnya jelas dari pertanyaan Anda. Jika A dan B memiliki komputer sendiri yang mereka gunakan sebagai administrator, itu masalah yang sama sekali berbeda.)
Perintah berikut akan mencegah pengguna dengan uid 1234 mengirim paket pada antarmuka eth0 :
iptables -t mangle -A OUTPUT -o eth0 -m owner --uid-owner 1234 -j DROP
ip6tables -t mangle -A OUTPUT -o eth0 -m owner --uid-owner 1234 -j DROP
Saya sarankan membaca panduan iptables Ubuntu untuk mendapatkan pemahaman dasar tentang alat ini (dan merujuk ke halaman manual untuk hal-hal lanjutan seperti tabel mangle).
Pengguna masih dapat menjalankan ping (karena itu adalah root setuid), tetapi tidak yang lain. Pengguna masih dapat terhubung ke proxy lokal jika proxy tersebut dimulai oleh pengguna lain.
Untuk menghapus aturan ini, tambahkan -D ke perintah di atas.
Untuk membuat aturan permanen, tambahkan ke /etc/network/if-up.d/my-user-restrictions (jadikan itu skrip yang dapat dieksekusi dimulai dengan #!/bin/sh ). Atau gunakan iptables-save (lihat panduan iptables Ubuntu untuk informasi lebih lanjut).