禁止用户访问互联网，但某些网站除外

Question

我试图阻止一个特定的用户从任何网站接收流量，但白名单上的特定站点除外。最简单的方法似乎是使用iptables，但我还无法让iptables设置工作-浏览器说它无法解析DNS地址。我在运行Ubuntu 12.10。

到目前为止，这是我的iptable文件：

# Generated by iptables-save v1.4.12 on Sat Jul 13 07:41:12 2013
*filter
:INPUT ACCEPT [3137:3823422]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1877:121508]
-A INPUT -s [[SPECIFIC IP]] -j ACCEPT
-A INPUT -s tcp --dport 53 -j ACCEPT  #
-A INPUT -p udp --dport 53 -j ACCEPT  # THESE 3 LINES ARE AN ATTEMPT TO GET DNS TO WORK
-A INPUT -p tcp --dport 953 -j ACCEPT # 
-A INPUT -m owner --uid-owner 1000 -j DROP  # disable all other packets for that user
COMMIT
# Completed on Sat Jul 13 07:41:12 2013

该文件是在启动时使用sudo iptables-restore < /etc/iptables_rules加载的，它可以工作。任何地方都不需要SSHing。

当前的问题是该用户的DNS查找失败。我可能做错了什么，我不太了解iptables。

谢谢大家的帮助！)

Answer 1

像这样修改文件可以解决所有问题：

# Generated by iptables-save v1.4.12 on Sat Jul 13 07:41:12 2013
*filter
:INPUT ACCEPT [3137:3823422]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1877:121508]
-A OUTPUT -d [[SPECIFIC IP]] -j ACCEPT
-A OUTPUT -p tcp --destination-port 53 -j ACCEPT
-A OUTPUT -p udp --destination-port 53 -j ACCEPT
-A OUTPUT -p tcp --destination-port 953 -j ACCEPT
-A OUTPUT -m owner --uid-owner 1000 -j DROP
COMMIT
# Completed on Sat Jul 13 07:41:12 2013

感谢gertvdijk告诉我要改变什么。