Shorewall -允许客户端上网，但不使用浏览器或端口80

Question

我的网络地址是192.168.5.0。我的主机是192.168.5.1，我的客户机是192.168.5.2。我将如何使我的客户端能够通过终端点播互联网，但限制它使用端口80或浏览器？下面是我的/etc/shorewall/policy文件：

SOURCE    DEST    POLICY    LOGLEVEL   RATE    CONNLIMIT

loc       net     ACCEPT

net       all     DROP      info

/etc/shorewall/rules文件：

DROP    loc    fw    tcp   80

/etc/shorewall/interfaces文件：

net   eth0
loc   eth1

主机接口：

eth0 - Connection to the internet
eth1 - Local Network Connection

请告诉我，如果我还需要提供更多的细节。使用上面的配置，我的客户不能平任何互联网网站，同时也不能从浏览器访问任何网站。

Answer 1

关于规则，当您使用：

DROP    loc    fw    tcp   80

您的意思是:禁止区域fw上的本地网络区域(loc)访问TCP/80端口。但是您的conf没有显示名为fw的区域(可能您指的是$FW，但这将表示防火墙机器本身)。你可以试试这样的方法：

Ping(ACCEPT)    loc    net
HTTP(DROP)      loc    net
HTTPS(DROP)     loc    net

AFAICR，shorewall在每个链的末尾添加了一个DROP ALL规则，因此可以删除两个删除HTTP和HTTPS的规则(因为所有不明确允许的规则都会被最后的DROP ALL规则阻塞)。

*此行为在策略文件中定义。