我们可以针对服务器上的用户进行策略的编写

但是，注意，netfilter提供两种匹配方式

–uid -owner userid | username

例如：

iptables -A OUTPUT -p tcp -m owner –uid-owner jacky –dport 80 -j ACCEPT

说明我们允许jacky这个孩子访问外网的80端口（上网）

iptables -A OUTPUT -p tcp -m owner –uid-owner jacky –dport 53 -j ACCEPT

说明我们允许jacky这个孩子使用dns解析服务

iptables -A OUTPUT -p all -m owner –uid-owner jacky -j ACCEPT

其它包全部丢掉

当然我们也可以按照组来

–gid -owner groupid |groupname\

栗子：

iptables -A OUTPUT -p tcm -m owner –gid-owner sales –dport 80 -j ACCEPT

iptables -A OUTPUT -p tcm -m owner –gid-owner sales –dport 53 -j ACCEPT

iptables -A OUTPUT -p all -m owner –gid-owner sales -j DROP
注意不用用带有suid和sgid的文件来测试这个模块，因为这些会改变运行者身份的命令对于这个模块来说没有意义