Cum să blochezi toate conexiunile de ieșire de la un anumit utilizator, cu excepția localhost?

Rayne

31.07.2023, 10:42

Doresc să blochez toate conexiunile de ieșire de la un anumit utilizator utilizator după ce s-au introdus în serverul meu (care rulează RHEL 7.4), adică utilizator nu ar trebui să poată trimite ssh în/ping alte servere din rețea.

Am configurat inițial următoarele firewall-cmd regula și a funcționat.

firewall-cmd --direct --permanent --add-rule filtru ipv4 OUTPUT 0 -m proprietar --uid-owner utilizator -j DROP

In orice caz, utilizator acum trebuie să acceseze Jupyter Notebook care rulează și pe același server (http://localhost:8888), dar nu a putut. A apărut o eroare la websocket. Odată ce regula firewall de mai sus a fost eliminată, utilizator poate accesa Notebook-ul.

Nu sunt sigur de ce utilizator nu a putut accesa gazdă locală, pentru că am crezut că regula blochează doar conexiunile de ieșire.

Cum permit utilizator a accesa gazdă locală pe orice port sau într-un anumit interval de porturi, blocând în același timp accesul la rețea peste tot în altă parte?

0 + 0

firewall-cmd

djdomi

31.07.2023, 15:26

adăugați o excepție?

Răspunde

Rayne

01.08.2023, 03:36

Multumesc, o sa incerc asta.

Răspunde

Puncte:2

Server

Alfredo Campos Enríquez

31.07.2023, 16:35

După cum a menționat djdomi, ați dori să adăugați o excepție înainte de regula DROP pe care o aveți deja. Acest lucru ar putea funcționa

firewall-cmd --direct --permanent --add-rule filtru ipv4 OUTPUT 0 -m proprietar --uid-owner utilizator --dport=8888 -j ACCEPT

Puneți-l înaintea regulii pe care o aveți deja.

0 + 0

Rayne

01.08.2023, 03:37

Mă întrebam ce excepție să adaug. Am văzut un răspuns online în care excepția adăugată a fost `-o lo` pentru a permite servicii locale, așa că voi încerca asta și portul așa cum ați sugerat dvs. Știți de ce regula DROP nu permitea accesul la localhost? Am crezut că ar trebui să blocheze doar conexiunile de ieșire, iar accesul la 127.0.0.1 ar trebui să fie în continuare permis. Sau blochează toate porturile, indiferent de IP (intern sau nu)?

Răspunde

djdomi

02.08.2023, 18:29

nega este nega și va avea impact întotdeauna primul. dacă nu permiteți să fie refuzat. acesta este cel mai simplu mod de a explica procesul și situația

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: How to block all outgoing connections from a particular user except localhost?

TH: จะบล็อกการเชื่อมต่อขาออกทั้งหมดจากผู้ใช้เฉพาะได้อย่างไร ยกเว้น localhost

RO: Cum să blochezi toate conexiunile de ieșire de la un anumit utilizator, cu excepția localhost?

RU: Как заблокировать все исходящие соединения от конкретного пользователя, кроме localhost?

VI: Làm cách nào để chặn tất cả các kết nối gửi đi từ một người dùng cụ thể ngoại trừ máy chủ cục bộ?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.