-1

Из-за проблем с защитой и защитой детей, я хочу создать ограниченную или ограниченную учетную запись для технически подкованного подростка. Я хотел бы внести в этот список только определенные веб-сайты (например, iPlayer и Netflix, поскольку в доме нет телевизора) для этого пользователя. Я не беспокоюсь об обновлениях программного обеспечения - они будут запускаться через мою учетную запись, естественно.

Я понимаю, что обычный ответ - использовать прокси, такой как Squid или Privoxy. Тем не менее, я обеспокоен тем, что можно обойти такие системы путем переопределения локальных настроек прокси на клиенте, если только устройство не запускает их в качестве прозрачного прокси, фильтрующего весь трафик локальной сети. Я также обеспокоен техническим бременем администрирования и поддержки. (Это говорит как системный администратор.)

В идеале я хотел бы иметь возможность использовать мою учетную запись администратора, которая, очевидно, имеет sudo, для установки локальных правил брандмауэра для каждого пользователя. Я бы подумал, что теоретически довольно просто для сетевого стека ядра блокировать соединения, основанные на том, из какого локального пользовательского процесса они происходят, точно так же, как он способен блокировать исходящие соединения от определенных хостов или портов, и было бы проще администрировать и поддерживать чем прокси, даже если само ядро на самом деле не предлагает упомянутую функциональность и что это может показаться гораздо более элегантным и эффективным механизмом, чем кувалдой пограничного устройства, блокируемого хостом или запускающего прокси.

У кого-нибудь есть мысли по этому поводу?

Изменить: люди, которые голосуют, не могли бы вы объяснить, почему в комментариях?

1 ответ1

1

Ну, если честно, есть причина, по которой все дают обычный ответ на использование прокси. Администрирование гораздо проще, чем набор IP-фильтров на хосте. Он также работает на нескольких устройствах, поэтому, если этот подросток использует свой телефон в сети Wi-Fi, он получит такую же защиту.

Если вы хотите убедиться, что все используют прокси-сервер, создайте DMZ, где расположен прокси-сервер, и не разрешайте прямой доступ к Интернету. Это легко сделать с помощью двух простых маршрутизаторов NAT. Всегда есть обратная сторона: чем технически подкованнее подросток, тем легче будет обойти ваши меры безопасности. И вы, вероятно, не захотите администрировать корпоративное решение.

КОРРЕКЦИЯ

С iptables это возможно;

iptables -A OUTPUT -o ethX -m owner --uid-owner {USERNAME} -j ACCEPT

где –uid-owner {USERNAME} совпадает, если пакет был создан процессом с указанным действительным USERNAME.

Но управлять им будет ужасно, а потому и плохой идеей.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .