Limitar uso de internet
![](https://seccdn.libravatar.org/avatar/3b65df2293185be650c3501b6be4a5ba.jpg?s=120&d=mm&r=g)
Wenas a todos! Tengo otra duda retorcida :P jejeje! Tengo varios usuarios locales, entre ellos, algunos pueden conectarse a mi via FreeNX. El problema es que no quiero que puedan tener acceso a internet mediante mi conexion (via Ethernet, conectado a cablemodem). En un principio pense que sacandolos del grupo dialout, todo estaría solucionado, pero lo he hecho y no funciona, siguen con su acceso a internet (tal vez por ser conexion directa y no por modem). La otra solucion que me queda es cambiar al grupo users todas las aplicaciones que dan acceso a inernet, darles permisos 750 y dejar a esos usuarios fuera del grupo users, pero es que son tantas las aplicaciones que dan al exterior que pufffff, me puede dar un mal. Alguien sabe como se podría solucionar mi problema de una forma alternativa? Gracias!
![](https://seccdn.libravatar.org/avatar/861b5545c111d2257fa12e533e723110.jpg?s=120&d=mm&r=g)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-06-07 a las 01:11 +0200, Jon Ander escribió:
En un principio pense que sacandolos del grupo dialout, todo estaría solucionado, pero lo he hecho y no funciona, siguen con su acceso a internet (tal vez por ser conexion directa y no por modem). La otra solucion que me queda es cambiar al grupo users todas las aplicaciones que dan acceso a inernet, darles permisos 750 y dejar a esos usuarios fuera del grupo users, pero es que son tantas las aplicaciones que dan al exterior que pufffff, me puede dar un mal.
En el momento que un usuario está logueado en tu ordenador, puede usar sus recursos de red, el estar en el grupo dialout no tiene nada que ver. Tendrías que cambiar el grupo de todos los programas que puedan acceder a internet (y son cientos) y denegarles el permiso de ejecución a "otros". A partir de ahí, sólo los usuarios que pertenezcan a ese grupo pueden ejectuarlos, y por ende, llegar a internet. Quizás ACL sirva mejor para eso. Si recuerdo que en el firewall se puede bloquear la salida a los procesos que se ejecutan localmente bajo cierto grupo. Lo leí a propósito de bloquerle la conexión al acrobat (el nuevo tiene algo de spyware): Date: Mon, 18 Apr 2005 15:56:26 +0200 From: nordi Subject: Re: [suse-security] How to block Acroread 7 with SuSE FW2? Carl A. Schreiber wrote:
I'd like to learn more about this, would you mind to give an example for such a rule?
I did it with the following rule: iptables -A OUTPUT -m owner --gid-owner talker -j REJECT Then I set /usr/bin/netcat to be owned by group 'talker' and to mode 2755 (SGID). After that I could not connect anywhere with netcat. Once I chmodded netcat back to 755 it worked again. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFCpOVvtTMYHG2NR9URAvZ0AJwLesfgBOpB8BM6DT4pPzfPFzjlUACdGjQK QB5Kabt20xBCtsjxTGFxJW8= =gFuz -----END PGP SIGNATURE-----
![](https://seccdn.libravatar.org/avatar/4f51956af02589e28ec9aa23cf4daeef.jpg?s=120&d=mm&r=g)
Hola. El Martes, 7 de Junio de 2005 01:11, Jon Ander escribió:
Wenas a todos!
Tengo otra duda retorcida :P jejeje!
Tengo varios usuarios locales, entre ellos, algunos pueden conectarse a mi via FreeNX. El problema es que no quiero que puedan tener acceso a internet mediante mi conexion (via Ethernet, conectado a cablemodem).
Lo puedes controlar con squid. -- Un Saludo. Carlos Lorenzo Matés
![](https://seccdn.libravatar.org/avatar/d8a8dc1bade9193aa9c8aba9240c15e8.jpg?s=120&d=mm&r=g)
con el proxy squid puedes darle a cada uno de tus usuarios las propiedades que quiereas ya sea que no les des ningun tipo de acceso a internet o que les des acceso a ciertas paginas o que los dejes o no bajar archivos y de que tipo. asi que documentate un poco de squid y con el yast o el webmin lo podras configurar facilmente. -- marcos@tehortua Registered Linux user #383697
participants (4)
-
Carlos E. R.
-
Carlos Lorenzo Matés
-
Jon Ander
-
marcos atehortua