Я собираюсь предложить, чтобы очевидные ответы/вещи протестировали сначала, потому что Вы не указываете их.
Причина, которую я спрашиваю, состоит в том, что отклонение, например, всегда отвергало бы предоставленный доступ.
Предполагая, что jumpbox - это Linux-сервер, iptables
можно с пользой использовать в цепочке OUTPUT
, чтобы ограничить, какие члены группы могут подключаться к каким серверам. Что-то вроде
iptables -A OUTPUT --gid-owner project1 -p tcp --dport 22 -d ip.of.project1.com -j ACCEPT
iptables -A OUTPUT --gid-owner project1 -j REJECT
iptables -A OUTPUT --gid-owner project2 -p tcp --dport 22 -d ip.of.project2.com -j ACCEPT
iptables -A OUTPUT --gid-owner project2 -j REJECT
, у которого есть удобный побочный эффект, заключающийся в том, что членам группы project1 запрещается делать что-либо кроме ssh'ing для project1.com, и то же самое для project2 и project2.com. Вам также могут понадобиться некоторые соответствующие правила в цепочке INPUT
, если вы ограничиваете трафик INPUT
.