OpenBSD 的 pf：禁用给定用户的网络访问（ssh 除外）。

Question 1

我认为您正在寻找 auhpf。

http://www.openbsd.org/faq/pf/authpf.html

Authpf(8) 是用于验证网关的用户 shell。身份验证网关就像常规网络网关（也称为路由器），只不过用户必须首先向网关验证自己的身份，然后网关才会允许流量通过。当用户的 shell 设置为 /usr/sbin/authpf（即，不是将用户的 shell 设置为 ksh(1)、csh(1) 等）并且用户使用 SSH 登录时，authpf 将对活动 pf(4) 规则集，以便用户的流量通过过滤器和/或使用网络地址转换或重定向进行转换。一旦用户注销或会话断开连接，authpf 将删除为用户加载的任何规则，并终止用户打开的任何有状态连接。因此，只有当用户保持 SSH 会话打开时，用户才能通过网关传递流量。

# macros
wifi_if = "wi0"
ext_if  = "fxp0"
dns_servers = "{ 10.0.1.56, 10.0.2.56 }"

table <authpf_users> persist

# filter
block drop all

pass out quick on $ext_if inet proto { tcp, udp, icmp } \
   from { $wifi_if:network, $ext_if }

pass in quick on $wifi_if inet proto tcp \
   from $wifi_if:network to $wifi_if port ssh

pass in quick on $wifi_if inet proto { tcp, udp } \
   from <authpf_users> to $dns_servers port domain

anchor "authpf/*" in on $wifi_if

Answer

我认为您正在寻找 auhpf。

http://www.openbsd.org/faq/pf/authpf.html

Authpf(8) 是用于验证网关的用户 shell。身份验证网关就像常规网络网关（也称为路由器），只不过用户必须首先向网关验证自己的身份，然后网关才会允许流量通过。当用户的 shell 设置为 /usr/sbin/authpf（即，不是将用户的 shell 设置为 ksh(1)、csh(1) 等）并且用户使用 SSH 登录时，authpf 将对活动 pf(4) 规则集，以便用户的流量通过过滤器和/或使用网络地址转换或重定向进行转换。一旦用户注销或会话断开连接，authpf 将删除为用户加载的任何规则，并终止用户打开的任何有状态连接。因此，只有当用户保持 SSH 会话打开时，用户才能通过网关传递流量。

# macros
wifi_if = "wi0"
ext_if  = "fxp0"
dns_servers = "{ 10.0.1.56, 10.0.2.56 }"

table <authpf_users> persist

# filter
block drop all

pass out quick on $ext_if inet proto { tcp, udp, icmp } \
   from { $wifi_if:network, $ext_if }

pass in quick on $wifi_if inet proto tcp \
   from $wifi_if:network to $wifi_if port ssh

pass in quick on $wifi_if inet proto { tcp, udp } \
   from <authpf_users> to $dns_servers port domain

anchor "authpf/*" in on $wifi_if

Question 2

我无法给您一个总体计划，然后希望其他人可以填写详细信息。

看来您需要执行以下操作：

创建一个chroot
以某种方式允许只有一个与它的接口。
然后看数据包排队对于该接口或在该接口上编写您的 pf 规则。

老实说，我认为使用 FreeBSD 监狱会更容易，但你可能没有这个选择。

这可能不是一个很好的答案，但希望它能为您指明正确的方向。我本来想将此作为评论发布，但我认为它太长了。

Answer