我不明白为什么 Ubuntu 社区在没有 cgroup 支持的情况下构建了 iptables,如果社区没有做到这一点,我不明白什么?也许Ubuntu使用另一种方式(没有cgroup的iptables等)?当然,我可以删除(或不删除)iptables 软件包并从头开始编译 iptables,但我不知道这是否符合 Debian 哲学。 sabj 是根据该主题创建的阻止进程的网络访问?其中一个人提供建议,使用 cgroup 对每个进程进行网络控制。
mkdir /sys/fs/cgroup/net_cls/block
echo 42 > /sys/fs/cgroup/net_cls/block/net_cls.classid
iptables -A OUTPUT -m cgroup --cgroup 42 -j DROP
echo [pid] > /sys/fs/cgroup/net_cls/block/tasks
我安装了 cgroup libs 和 bin,但是当我运行 iptables 时,出现错误:
iptables -A OUTPUT -m cgroup --cgroup 42 -j DROP
iptables v1.4.12: Couldn't load match `cgroup':No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
各位,如何正确决定呢?
答案1
到目前为止,还没有发布支持 cgroup 的 iptables。最新的 iptables 是 1.4.21,于 2013 年 11 月发布(据我所知)。 Cgroups 支持是后来添加的,但从未正式发布。这可能就是绝大多数发行版(包括 Arch)中没有新的 iptables 的原因。