Ich möchte alle ausgehenden Verbindungen eines bestimmten Benutzers blockieren, usernachdem dieser sich per SSH mit meinem Server (auf dem RHEL 7.4 läuft) verbunden hat. Das heißt, er usersollte nicht in der Lage sein, per SSH auf andere Server im Netzwerk zuzugreifen/sie anzupingen.
Ich habe zunächst die folgende firewall-cmdRegel konfiguriert und sie hat funktioniert.
firewall-cmd --direct --permanent --add-rule ipv4 filter OUTPUT 0 -m owner --uid-owner user -j DROP
Jetzt muss jedoch userauf das Jupyter Notebook zugegriffen werden, das ebenfalls auf demselben Server läuft ( http://localhost:8888), was jedoch nicht möglich war. Es gab einen Fehler beim WebSocket. Sobald die obige Firewall-Regel entfernt wurde, userkann auf das Notebook zugegriffen werden.
Ich bin nicht sicher, warum userkein Zugriff möglich war localhost, da ich dachte, die Regel blockiere nur ausgehende Verbindungen.
Wie erlaube ich userden Zugriff localhostauf einen beliebigen Port oder einen bestimmten Portbereich, blockiere aber weiterhin den Netzwerkzugriff auf alle anderen Ports?
Antwort1
Wie djdomi erwähnt hat, möchten Sie vor der bereits vorhandenen DROP-Regel eine Ausnahme hinzufügen. Das könnte funktionieren
firewall-cmd --direct --permanent --add-rule ipv4 filter OUTPUT 0 -m owner --uid-owner user --dport=8888 -j ACCEPT
Platzieren Sie es vor der Regel, die Sie bereits haben.
BR