我想添加一条适用于本地交互式用户的防火墙规则。目的是限制该框,仅允许与 Web 和邮件相关的连接,并更新服务连接。有时,我需要打开浏览器来查找设置,因此当我坐在键盘前时,我可能需要允许出站连接。
这Linux iptables 袖珍指南没有涉及主题。
问题:是否可以添加基于“本地用户”和“交互式用户”对象进行过滤的防火墙规则?
答案1
您可以根据原始进程的 uid 过滤传出的数据包。例如:
iptables -A OUTPUT -m owner --uid-owner some_user -j DROP
iptables 无法区分交互式和非交互式进程。但你可能需要研究一下Linux 控制组为此。具体来说,net_cls 子系统。您可以使用 net_cls 子系统标记数据包,然后使用 iptables 过滤它们。因此,该过程首先将交互式用户的 shell 放入标记传出数据包的 net_cls cgroup 中,然后使用 iptables 过滤这些数据包。