是否可以将 iptables 中的特定程序列入白名单?

是否可以将 iptables 中的特定程序列入白名单?

是否可以允许特定程序的所有流量iptables?否则同时使用nmap和严格的配置似乎是不可能的。iptables

答案1

使用 iptables,您无法指定允许来自特定程序的所有流量,但您可以指定允许从特定用户运行的应用程序发送的流量。

例如。

$ iptables -A OUTPUT -p tcp --dport 992 -d localhost -m owner ! --uid-owner root -j REJECT

该规则告诉内核拒绝发送到本地 TCP 端口 992 的数据包,除非它们是由 root 进程之一发送的。

答案2

恕我直言,模块所有者也应该是解决方案。但是让二进制文件作为 SUID 运行可能没有用(即使它不是 SUID root)。相反,让它作为 SGID 运行,并使用--gid-ownernot--uid-owner甚至比容器解决方案更容易(并且可以在不需要所有用户合作的情况下强制实现所需的效果)。您可以创建一个专门用于该程序或专门用于不受防火墙干扰的所有程序的组。

相关内容