Firewall, die genau eine Webseite ermöglicht
Hallo!
Ich möchte für meinen Sohn einen Account einrichten, von dem er per
Whitelist
genau eine Webseite (phase-6.de, ein Vokabelprogramm) aufrufen kann,
und ansonsten möglichst gar nichts.
Andere Accounts auf dem Rechner brauchen vollen Netzzugang.
Ich habe mit iptables eine Chain PHASE6 eingerichtet für alle Pakete,
die outging sind und dem Benutzer phase6 gehören.
# alles löschen:
iptables -F
iptables -X
# eine neue Chain fuer Phase 6
iptables -N PHASE6
# Absprung: alle Pakete, die von phase6 kommen:
iptables -A OUTPUT -m owner --uid-owner phase6 -j PHASE6
Was ich glaube zu brauchen, bekommt eine ACCEPT -Regel:
# Zugriffe auf lokale Ressourcen zulassen
iptables -A PHASE6 -d 127.0.0.0/8 -j ACCEPT
iptables -A PHASE6 -d 192.168.178.1 -j ACCEPT .. das ist die Fritzbox
# Phase 6 selbst
iptables -A PHASE6 -d phase-6.de -j ACCEPT
iptables -A PHASE6 -dwww.phase-6.de -j ACCEPT
iptables -A PHASE6 -d lernen.phase-6.de -j ACCEPT
# was Phase 6 (anscheinend) noch braucht
iptables -A PHASE6 -d static.zanox.com -j ACCEPT
iptables -A PHASE6 -d api.zanox.com -j ACCEPT
iptables -A PHASE6 -d bat.bing.com -j ACCEPT
Alles, was am Ende der Verarbeitung der Kette übrigbleibt, LOG und DROP
# was jetzt noch in der Chain ist: loggen und verwerfen
iptables -A PHASE6 -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped for Phase6: " --log-level 4
iptables -A PHASE6 -j DROP
Der Benutzer phase6 kann diese Webseite benutzen, so weit ist alles OK.
Aber warum ermöglicht diese Einstellung ihm einen Zugriff auf https://www.youtube.com?
Dass das nicht geht, ist ja gerade der Sinn des Spiels.
Gibt es einen eleganteren Weg, mein Problem zu lösen?
Vielen Dank für Hinweise und Überlegungen!
Hartmut
Reply to: