Deseo bloquear todas las conexiones salientes de un usuario en particular userdespués de que hayan ingresado por ssh a mi servidor (ejecutando RHEL 7.4), es decir, userno debería poder ingresar por ssh o hacer ping a otros servidores en la red.
Inicialmente configuré la siguiente firewall-cmdregla y estaba funcionando.
firewall-cmd --direct --permanent --add-rule ipv4 filter OUTPUT 0 -m owner --uid-owner user -j DROP
Sin embargo, userahora necesita acceder a Jupyter Notebook que también se ejecuta en el mismo servidor ( http://localhost:8888), pero no pudo. Hubo un error sobre el websocket. Una vez que se eliminó la regla de firewall anterior, userpodrá acceder al Notebook.
No estoy seguro de por qué userno pude acceder localhost, porque pensé que la regla solo bloquea las conexiones salientes.
¿Cómo puedo permitir userel acceso localhosta cualquier puerto o a un rango de puertos específico y al mismo tiempo bloquear el acceso a la red en cualquier otro lugar?
Respuesta1
Como mencionó djdomi, le gustaría agregar una excepción antes de la regla DROP que ya tiene. esto podría funcionar
firewall-cmd --direct --permanent --add-rule ipv4 filter OUTPUT 0 -m owner --uid-owner user --dport=8888 -j ACCEPT
Colócalo antes de la regla que ya tienes.
BR