Digamos que hay dos usuarios en la LAN, A y B. ¿Cómo restrinjo el acceso a Internet del usuario A usando las reglas de iptables y guardando las reglas para que, después de reiniciar, sigan siendo efectivas? Supongamos también que quiero otorgar acceso a ese usuario en algún momento; como lo habilito de nuevo? Estoy usando Ubuntu Linux 10.04. Sería bueno si alguien me mostrara cómo hacerlo desde la línea de comandos, ya que a menudo inicio sesión en la máquina usando un inicio de sesión ssh local.
Respuesta aceptada:
Supongo que los usuarios A y B están usando las mismas máquinas Linux en las que usted es el administrador. (No está completamente claro a partir de su pregunta. Si A y B tienen sus propias computadoras en las que son administradores, es un problema completamente diferente).
El siguiente comando evitará que el usuario con uid 1234 envíe paquetes en la interfaz eth0 :
iptables -t mangle -A OUTPUT -o eth0 -m owner --uid-owner 1234 -j DROP
ip6tables -t mangle -A OUTPUT -o eth0 -m owner --uid-owner 1234 -j DROP
Recomiendo leer la guía de iptables de Ubuntu para familiarizarse con la herramienta (y consulte la página del manual para conocer cosas avanzadas como la tabla mangle).
El usuario aún podrá ejecutar ping (porque es setuid root), pero nada más. El usuario aún podrá conectarse a un proxy local si otro usuario inició ese proxy.
Para eliminar esta regla, agregue -D al comando anterior.
Para que la regla sea permanente, agréguela a /etc/network/if-up.d/my-user-restrictions (haga que sea un script ejecutable que comience con #!/bin/sh ). O use iptables-save (consulte la guía de iptables de Ubuntu para obtener más información).