안녕하세요, 모든 Linux 컴퓨터(Debian Wheezy)의 사용자가 인터넷에 액세스하고 채팅하고 이메일을 보내는 것을 차단하고 싶습니다. 그러나 대형 프린터에는 Linux 기반 Rip 스테이션을 사용하므로 로컬 네트워크의 모든 것에 액세스할 수 있어야 합니다. 그러나 로컬 네트워크 외부의 어떤 것에도 액세스할 필요는 없습니다.
답변1
규칙을 사용하여 iptables특정 사용자의 아웃바운드 트래픽을 차단합니다.
이렇게 하면 전달되는 IP 범위를 완벽하게 제어할 수도 있습니다(예: LAN 주소 블록만 허용됨). 특정 포트만 차단하는 것도 유용할 수 있습니다. 하지만...ssh를 허용하면 능숙한 사용자는 터널을 통과하여 방화벽을 통과할 것입니다. 로컬 시스템에 SSH를 허용하는 경우 사용자가 액세스할 수 있는 모든 시스템에 이 방화벽을 설정해야 합니다. 그렇지 않으면 제한되지 않은 가장 가까운 시스템으로만 터널링하고 거기에서 네트워크에 액세스할 수 있습니다.
그것은 모두 어떤 종류의 사용자를 보유하고 있는지에 따라 다릅니다. 사용자가 SSH를 통해 접속할 수 있어야 하는데 정말로 그를 차단하고 싶다면 문제가 있는 것입니다. SSH에 대한 지식이 없는 비기술적인 사용자에게 작동하는 경우 모든 아웃바운드 트래픽을 차단하고 SSH 포트를 닫으십시오.
답변2
단순히 노드의 인터넷 아웃바운드 액세스를 차단하려는 경우 로컬 서브넷의 리소스만 필요하다고 판단되면 해당 호스트에 대한 기본 게이트웨이 경로를 제거하십시오.
ip route delete <gateway address> dev <interface>