通过特定网络接口路由来自 cgroup 的流量

tag-icon tag-icon iptables cgroup
通过特定网络接口路由来自 cgroup 的流量

是否有可能将 cgroup 限制到特定的网络接口?来自 cgroup 的所有数据包都应仅通过 VPN 连接路由,而其他数据包则使用默认路由。

对于 unix 用户来说,可以使用 iptables“-m Owner --set-mark”,然后使用“ip Rule”进行路由。

是否可以匹配 cgroup?iptables 似乎不支持此功能。

答案1

iptables 对 -m cgroup 的支持尚未发布,但您可以轻松地自行构建扩展并将其安装在您的系统上:

git clone git://git.netfilter.org/iptables.git
cd iptables
./autogen.sh
./configure
make -k
sudo cp extensions/libxt_cgroup.so /lib/xtables/
sudo chmod -x /lib/xtables/libxt_cgroup.so

答案2

使用-m cgroup。例如:

iptables -A OUTPUT -m cgroup ! --cgroup 1 -j DROP

从:http://lwn.net/Articles/569678/

相关内容