Я хочу добавить правило брандмауэра, которое применяется к локальному интерактивному пользователю. Намерение состоит в том, чтобы ограничить доступ и разрешить только веб-соединения и почтовые соединения, а также обновить сервисные соединения. Иногда мне нужно открыть браузер, чтобы найти настройки, поэтому мне может потребоваться разрешить исходящее соединение, когда я сижу за клавиатурой.

Linux iptables Pocket Reference не затрагивает эту тему.

Вопрос . Можно ли добавить правило брандмауэра, которое фильтрует объекты на основе "локального пользователя" и "интерактивного пользователя"?

|источник

1 ответ1

1

Вы можете фильтровать исходящие пакеты на основе идентификатора исходящего процесса. Например:

iptables -A OUTPUT -m owner --uid-owner some_user -j DROP

iptables не умеет различать интерактивные и неинтерактивные процессы. Но вы можете посмотреть Linux CGROUP для этого. В частности, подсистема net_cls. Вы можете пометить пакеты с подсистемой net_cls, а затем отфильтровать их с помощью iptables. Таким образом, процесс будет заключаться в том, чтобы сначала поместить оболочку интерактивного пользователя в группу net_cls, которая маркирует исходящие пакеты, а затем отфильтровать эти пакеты с помощью iptables.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .