Как настроить ограничения уровня пользователя для шлюза?

Вы можете использовать что-то вроде iptables -A OUTPUT -m owner --uid-owner 1001 соответствовать на локального пользователя. Но это работает только для пользователей на компьютере с брандмауэром.

По сети ваш брандмауэр должен быть в состоянии определить, какой пользователь какой. Обычный интернет-трафик имеет только адреса источника и назначения и не помечен именами пользователей, что означает, что ваш брандмауэр не может различать разных пользователей и поэтому не может блокировать разных пользователей по-разному.

Таким образом, блокирование с помощью машины легко, но блокирование с помощью пользователя является нетривиальным без какого-либо дополнительного механизма для дифференциации пользователей.

Если вы хотите заблокировать трафик веб-сайта, вы можете сделать это с помощью веб-прокси-сервера, такого как Squid. Вам нужно будет настроить брандмауэр для блокировки веб-трафика, кроме трафика, проходящего через squid.

Существуют различные способы настройки пользователей для прохождения через прокси, в том числе "автоопределение веб-прокси" (wpad), "proxy.pac", "прозрачное проксирование" и вручную.

HTTP поддерживает дополнительный этап проверки подлинности прокси-сервера, и если вы включите его, пользователям будет предложено ввести имя пользователя и пароль при попытке доступа в Интернет. Тогда кальмар будет знать, кто есть кто.

Наконец, есть различные решения, которые подключаются к squid, которые принимают решения о том, что заблокировано, а что нет; хотя, если вы просто хотите заблокировать некоторые конкретные URL-адреса, вы можете сделать это непосредственно в squid.