首页 » Iptables » 正文

Netfilter模块之owner

我们可以针对服务器上的用户进行策略的编写

但是,注意,netfilter提供两种匹配方式

–uid -owner userid | username

例如:

iptables -A OUTPUT -p tcp -m owner –uid-owner jacky –dport 80 -j ACCEPT

说明我们允许jacky这个孩子访问外网的80端口(上网)

iptables -A OUTPUT -p tcp -m owner –uid-owner jacky –dport 53 -j ACCEPT

说明我们允许jacky这个孩子使用dns解析服务

iptables -A OUTPUT -p all -m owner –uid-owner jacky -j ACCEPT

其它包全部丢掉

当然我们也可以按照组来

–gid -owner groupid |groupname\

栗子:

iptables -A OUTPUT -p tcm -m owner –gid-owner sales –dport 80 -j ACCEPT

iptables -A OUTPUT -p tcm -m owner –gid-owner sales –dport 53 -j ACCEPT

iptables -A OUTPUT -p all -m owner –gid-owner sales -j DROP
注意不用用带有suid和sgid的文件来测试这个模块,因为这些会改变运行者身份的命令对于这个模块来说没有意义

发表评论