![[PukiWiki]](image/picc.png "[PukiWiki]")
愚生の一番苦手な場所です。
routerの場所でいろいろ調整してみたのだが、やっぱこれが避けて通れないみたい...
外部から共同研究として新たなユーザが参加する。
どこからでもログイン可能であるが、そのマシンを踏み台にして他のマシンや外部には行ってほしくない。
そこで、そのマシンで iptables の OUTPUT を適用してみた。
を前提として、
iptables -t filter -F #初期化
iptables -t filter -A OUTPUT \ # OUTPUTチェーンに対して
-m limit --limit 1/s \ # ログ採取の間隔
-p tcp ! --dport 53 \ # 53(DNS)以外の要求に
-m owner --uid-owner 500-10000 \ # 実行者のUIDが 500-10000 なら
-j LOG --log-uid --log-prefix "[reject]: " # syslog経由で出されるログに記載(uid/gidともに)
iptables -t filter -A OUTPUT \
-p tcp ! --dport 53 \
-m owner --uid-owner 500-10000 \
-j REJECTと試作した
NIS
iptables -t filter -F INPUT
iptables -A INPUT -p tcp -m tcp --dport 111 -j ACCEPT
