PC1 在 centOS 上运行,带有 iptables,分配了 5 个 ip(192.168.10.11-192.168.10.15),10 个用户(User1 - User9)。我想要的只是限制单个 ip 的 UDP 和 TCP 流量(192.168.10.11)致用户(用户1),以便所有进出UDP协议和传输控制协议流量只能由用户使用(用户1)。
(ps:我看到很多人在 freebsd 上使用 ipfw 做这个)
答案1
我确实不知道有什么机制可以解决这个问题,因为它会破坏系统。如果他们通过 VPN 登录会怎么样?或者以其他远程方式访问会怎么样?IP 可以绑定/关联到设备,而不是人。用户名与人有关。
如果您确实希望特定用户拥有特定 IP,请为他们分配特定的计算机/笔记本电脑/设备,并允许他们仅从该设备访问资源。在 AD 中,您可以锁定他们使用的计算机,过滤该计算机对资源的 IP 访问等。
答案2
实际上,最好的方式是为每个用户创建一个虚拟机,并将您希望他们使用的 IP 分配给该虚拟机。
匹配user不会iptables像您预期的那样工作,因为并非所有数据包都归用户所有。例如,ICMP 和传入数据包都不归用户所有,因此永远不会匹配,您不能用它iptables来强制应用程序绑定到特定地址等。