J

eśli w systemie posiadamy użytkownika / grupę użytkowników (np. programistów), któremu / którym nie potrzebny jest “Internet”, ponieważ nasza maszyna pełni dla nich rolę produkcyjnej pod innym względem niż wykorzystanie jej łącza (np. kompilatory, oprogramowanie do obliczeń), to nie stoi nic na przeszkodzie, abyśmy zablokowali mu / im możliwość wykorzystania połączeń wychodzących.

Do tej funkcji możemy wykorzystać rozszerzenie owner – iptables, które właśnie działa tylko na łańcuchu OUTPUT. Pozwala ono na blokadę połączeń wychodzących na podstawie numerze UID danego użytkownika lub GID danej grupy. Np. blokujemy Internet użytkownikowi o loginie: elzevier, który posiada UID = 696, oraz należy do grupy: programers o GID = 109 (grep -i users /etc/group):

iptables -A OUTPUT -p tcp -m owner --uid-owner 696 -j DROP

Możemy zablokować wyjście na świat, również całej grupie:

iptables -A OUTPUT -p tcp -m owner --gid-owner 109 -j DROP

Konkretny port / usługę (WWW):

iptables -A OUTPUT -p tcp --dport 80 -m owner --uid-owner 696 -j DROP

Czy cały zakres portów:

iptables -A OUTPUT -p tcp --dport 1:1024 -m owner --uid-owner 696 -j DROP

Oprócz protokołu TCP, możemy zastosować także UDP oraz ICMP. W sposób ten, możemy również skutecznie zablokować wybrany program, który odpalany jest z uprawnieniami danego użytkownika.

Więcej informacji: Packet Filtering HowTo