লিনাক্সে iptables ব্যবহার করে ল্যানে কোনও নির্দিষ্ট ব্যবহারকারীর জন্য কীভাবে ইন্টারনেট অ্যাক্সেসকে সীমাবদ্ধ করা যায়


11

আসুন ধরা যাক ল্যানেতে দু'জন ব্যবহারকারী রয়েছে, এ এবং বি। আমি কীভাবে ব্যবহারকারী এটিকে আইপ্যাটেবলের বিধিগুলি ব্যবহার করে এবং নিয়মগুলি সংরক্ষণ করতে নিষেধ করব যাতে পুনরায় বুট করার পরেও তারা কার্যকর থাকে। মনে করুন যে আমি কোনও সময়ে সেই ব্যবহারকারীকে অ্যাক্সেস দিতে চাই; আমি কীভাবে এটি আবার সক্ষম করব? আমি উবুন্টু লিনাক্স 10.04 ব্যবহার করছি। কমান্ড লাইন থেকে কেউ কীভাবে এটি করতে হয় তা যদি আমাকে দেখায় তবে ভাল হবে, কারণ আমি প্রায়শই স্থানীয় এসএসএস লগইন ব্যবহার করে মেশিনে লগইন করি।

উত্তর:


17

আমি ধরে নিয়েছি যে A এবং B ব্যবহারকারীরা একই লিনাক্স মেশিন ব্যবহার করছেন যেখানে আপনি প্রশাসক। (এটি আপনার প্রশ্ন থেকে সম্পূর্ণ পরিষ্কার নয় A যদি ক এবং বি এর নিজস্ব কম্পিউটার থাকে যা তারা প্রশাসক হয় তবে এটি সম্পূর্ণ আলাদা সমস্যা))

নিম্নলিখিত কমান্ড ইউআইডি 1234 ব্যবহারকারীকে ইন্টারফেসে প্যাকেট প্রেরণ করা থেকে বিরত রাখবে eth0:

iptables -t mangle -A OUTPUT -o eth0 -m owner --uid-owner 1234 -j DROP

আমি সরঞ্জামটির সাথে প্রাথমিক পরিচিতি পেতে উবুন্টু আইপটিবল গাইডটি পড়ার পরামর্শ দিচ্ছি (এবং মঙ্গলের টেবিলের মতো উন্নত জিনিসের জন্য ম্যান পৃষ্ঠাটি দেখুন)।

ব্যবহারকারী এখনও পিং চালাতে সক্ষম হবেন (কারণ এটি নির্ধারিত মূল), তবে অন্য কিছু নয়। যদি সেই প্রক্সি অন্য কোনও ব্যবহারকারী দ্বারা শুরু করা হয়েছিল তবে ব্যবহারকারী কোনও স্থানীয় প্রক্সিতে সংযোগ করতে সক্ষম হবেন।

এই নিয়মটি সরাতে -Dউপরের কমান্ডটিতে যুক্ত করুন ।

নিয়ম স্থায়ী করার জন্য, এটিতে যুক্ত করুন /etc/network/if-up.d/my-user-restrictions(এটি দিয়ে একটি নির্বাহযোগ্য স্ক্রিপ্ট শুরু করুন #!/bin/sh)। অথবা ব্যবহার করুন iptables-save( আরও তথ্যের জন্য উবুন্টু আইপটিবল গাইড দেখুন)।


আপনাকে অনেক ধন্যবাদ. এবং হ্যাঁ আপনার অনুমানগুলি সত্য। আপনার উত্তর এবং উল্লিখিত উবুন্টু গাইডের ভিত্তিতে, আমি যদি সীমাবদ্ধ ব্যবহারকারীর এসএসএস অ্যাক্সেসও দিতে চাইতাম (তবে কখনও কখনও আমি তার অ্যাকাউন্টটি এসএসএস-এর মাধ্যমে লগইন করতে চাই) thingsপ্যাবট্যাবলস-ম্যান্টেল-এ আউটপুট - হে এথ0-মি মালিক - আইইড-মালিক 1234 -পি টিসিপি --ডপোর্ট এসএস -j এসিসিপিটি আইপ্যাব্যাটেলস-ম্যাঙ্গেল -এ আউটপুট -ও এথ0-এম এর মালিক - আইডি-মালিক 1234-জে ড্রপ আমি এই নিয়মগুলিকে যেমন রেখেছি উল্লিখিত ফাইল এবং জিনিসগুলি ভাল কাজ করে বলে মনে হচ্ছে।
মারওয়ান ট্যানগার

@ মারওয়ান আমি ঠিক মনে করি মনে রাখবেন যে আপনি যদি এসএসএস অ্যাক্সেসের অনুমতি দেন তবে আপনি বেশ কিছু করতে পারবেন যেহেতু এসএসএস অপ্রয়োজনীয়ভাবে অন্যান্য প্রোটোকলগুলি সুড়ঙ্গ করতে পারে।
গিলস 'অশুভ হওয়া বন্ধ করুন'

0

আমি এটির জন্য iptables ব্যবহার করব না।

আমি ধরে নিয়েছি যে এ এবং বি স্থির আইপিগুলি ক্লায়েন্টএ এবং ক্লায়েন্টবির সাথে যুক্ত। আমি ধরে নিলাম যে আপনার ইন্টারনেট-প্রক্সিটি সার্ভারআই (আপনার উবুন্টু-সার্ভার?)।

সুতরাং আমি ক্লায়েন্টা থেকে সার্ভারে একটি অস্বীকার / ড্রপ রাউটিং এন্ট্রি যুক্ত করব।

আমি উবুন্টু ব্যবহার করি না - সুতরাং সেটিংটি স্থায়ী করার জন্য কোন কনফিগার ফাইলটি ব্যবহার করতে হবে তা বলতে পারি না (পুনরায় বুট থেকে বেঁচে থাকতে))

সম্ভবত কেউ এই বিবরণ যুক্ত করতে পারেন?

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.