Làm cách nào để chặn tất cả các kết nối gửi đi từ một người dùng cụ thể ngoại trừ máy chủ cục bộ?

Tôi muốn chặn tất cả các kết nối gửi đi từ một người dùng cụ thể người dùng sau khi họ đã ssh'd vào máy chủ của tôi (chạy RHEL 7.4), nghĩa là, người dùng không thể ssh vào/ping các máy chủ khác trên mạng.

ban đầu tôi cấu hình như sau tường lửa-cmd quy tắc, và nó đã làm việc.

tường lửa-cmd --direct -- Permanent --add-rule bộ lọc ipv4 ĐẦU RA 0 -m chủ sở hữu --uid-chủ sở hữu người dùng -j DROP

Tuy nhiên, người dùng bây giờ cần truy cập Jupyter Notebook cũng đang chạy trên cùng một máy chủ (http://localhost:8888), nhưng không thể. Đã xảy ra lỗi về websocket. Khi quy tắc tường lửa ở trên đã bị xóa, người dùng có thể truy cập Notebook.

tôi cung không chăc tại sao người dùng không thể truy cập máy chủ cục bộ, vì tôi nghĩ rằng quy tắc chỉ chặn các kết nối gửi đi.

Làm thế nào để tôi cho phép người dùng để truy cập máy chủ cục bộ trên bất kỳ cổng nào hoặc một phạm vi cổng cụ thể, trong khi vẫn chặn truy cập mạng ở mọi nơi khác?

Như djdomi đã đề cập, bạn muốn thêm một ngoại lệ trước quy tắc DROP mà bạn đã có. Điều này có thể làm việc

tường lửa-cmd --direct -- Permanent --add-rule bộ lọc ipv4 ĐẦU RA 0 -m chủ sở hữu --uid-chủ sở hữu người dùng --dport=8888 -j CHẤP NHẬN

Đặt nó trước quy tắc mà bạn đã có.

BR