比如说,我想阻止除来自 nginx 的传入流量、来自 Firefox 的传出流量之外的所有流量,并允许某些 torrent 客户端的传出和传入流量。这可能吗?我查看了 apparmor,它似乎没有全局配置文件,但我可能是错的。
是否可以阻止包括 root 在内的所有用户访问互联网,但将 SOMEUSERNAME 互联网访问列入白名单?
答案1
是否可以阻止包括 root 在内的所有用户访问互联网,但将 SOMEUSERNAME 互联网访问列入白名单?
可以用 iptables 来完成:
iptables -A OUTPUT -m owner --uid-owner SOMEUSERNAME -j ACCEPT
iptables -A OUTPUT -j REJECT
这没什么特别的。当然,root用户可以继续重写iptables规则来赋予自己权限。
您可以将传入端口(例如 SSH、HTTP 和 HTTPS)列入白名单:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j REJECT
无法进行应用程序级过滤iptables,但您可以在不同的用户下运行 Firefox 和 torrent 客户端,然后以类似的方式对它们进行过滤。
另请参阅: