unsen schrieb:
Hallo Leute,
ich such eine ganz simple Methode einen einzelnen Benutzer (Profil) vom Internet komplett zu trennen - aber Intranet zuzulassen.
Das geht mittels iptables recht einfach. Das folgende Konstrukt nutze ich für den Standarduser um sämtliche Internetaktivitäten nach aussen zu unterbinden. (Leider auch nntp, könnte man aber ändern.) Vorteil ist, dass man nur dem Standardnutzer Zugriff auf den Router gewährt aber nicht Zugriff nach aussen. Umgekehrt können alle anderen Nutzer das Internet accessieren aber nicht auf den Router zugreifen. (Mit ausnahme von DNS.) Das ist vorteilhaft um Attacken gegen den Router durch Javascript oder Flash zu unterbinden. (Wie z.B. jüngst bei der Fritzbox.)
/sbin/iptables -A OUTPUT -d 192.168.178.1 -p udp --dport 53 -j ACCEPT # fritzbox; dns immer durchlassen
/sbin/iptables -A OUTPUT -m owner ! --uid-owner <standarnutzer> -d 192.168.178.1 -j DROP # fritzbox; restlichen zugriff für gastuser sperren
/sbin/iptables -A OUTPUT -m owner --uid-owner <standarnutzer> -d 192.168.178.1 -j ACCEPT # für standardnutzer nur die fritzbox durchlassen
/sbin/iptables -A OUTPUT -m owner --uid-owner <standarnutzer> -j DROP # für standardnutzer internet unterbinden