こんにちは、すべてのLinuxコンピュータ(Debian Wheezy)のユーザーがインターネットにアクセスし、チャットして電子メールを送信するのをブロックしたいと思います。ただし、大型プリンタではLinuxベースのRipステーションを使用しているため、ローカルネットワーク上のすべてにアクセスできる必要があります。ただし、ローカルネットワークの外部にアクセスする必要はありません。
ベストアンサー1
ルールを使用して、iptables特定のユーザーからのアウトバウンドトラフィックをブロックします。
これにより、転送されるIP範囲を完全に制御できます(たとえば、LANアドレスブロックのみが許可されます)。特定のポートだけをブロックすることも便利です。しかし、sshを許可すると、熟練したユーザーはトンネルを通過してファイアウォールを通過します。ローカルシステムでSSHを許可する場合は、ユーザーがアクセスできるすべてのシステムにこのファイアウォールを設定する必要があります。それ以外の場合は、非制限のある最も近いシステムにのみトンネリングし、そこからネットワークにアクセスできます。
それはどんなユーザーを持っているかによって異なります。ユーザーがSSH経由でアクセスできる必要がありますが、本当に彼をブロックしたい場合は問題があります。 SSHに関する知識のない非技術ユーザーに機能する場合は、すべてのアウトバウンドトラフィックをブロックしてSSHポートを閉じます。