1

我正在运行 Linux 的 docker 映像并尝试实现以下目标:

  1. 运行一个泊坞窗
  2. 创建用户测试
  3. 停止用户测试从互联网访问

1 和 2 工作,但我被困在 #3。

我试过什么?

  1. 运行iptables -t mangle -A OUTPUT -o eth0 -m owner --uid-owner 501 -j DROP。此命令失败并显示错误消息“getsockopt 异常失败:不允许操作”。我无法找到根本原因
  2. 更改 sudoer 文件并添加一个条目test ALL=!/bin/ping。这是为了看看我是否能够阻止用户测试运行 ping 命令。但是,sudoer 文件中的此更改没有任何影响,并且用户 test 能够运行 ping 命令。假设这可行,我的意图是与 sudoer 一起玩以实现我的目标

是否有解决此问题的建议或建议?

4

1 回答 1

-2

iptables使用命令阻止特定用户的所有 Internet 访问。

sudo iptables -A OUTPUT -m owner --uid-owner {USERNAME} -j REJECT

如果您希望该命令在系统启动时运行,您应该将它添加到 /etc/rc.local 文件的末尾。

上面的反转命令:

sudo iptables -D OUTPUT -m owner --uid-owner {USERNAME} -j REJECT

或者您可以重新启动。除非您已将该行添加到 /etc/rc.local,否则它不是持久的,如果您有,则可以删除该行。

你可以阅读更多

于 2018-05-19T07:14:03.210 回答