我想让 Skype 工作,iptables并且不想允许大量端口,因此我认为解决方案可能是
iptables -A OUTPUT -m owner --gid-owner skypeGrp -j ACCEPT
iptables -A INPUT -m owner --gid-owner skypeGrp -j ACCEPT
我事先创建了一个名为的组skypeGrp,然后将 Skype 应用程序放入其中:
sudo addgroup skypeGrp
sudo usermod some_username -G skypeGrp
sudo chgrp skypeGrp /usr/bin/skype
这不应该起作用吗?
编辑:
我认为使我最初在问题中概述的方法发挥作用的另一个关键见解是认识到它active group会iptables引起注意。因此,我的用户不仅必须属于skypeGrp,这也必须是他active group在运行时的Skype(请参阅这里了解更多)。
答案1
否,因为该规则将检查用户的组,而不是文件的组所有者。
但是,如果您设置 Skype 可执行文件的 gid,则文件的组所有者也将成为用户组的一部分。
chmod g+s /usr/bin/skype
那么您的iptables规则应该有效...如果 Skype 有效且不会放弃权限。