我在隧道模式下使用 IPSEC,我需要确保全部该计算机上某个用户的流量被限制在 VPN 连接内,如果 VPN 中断,数据包将被拒绝。
因此实际上,除非用户是“myuser”,否则所有流量都是允许的。如果所有者是“myuser”,则必须拒绝所有非 ipsec 数据包(进出)。
我尝试这样做,认为第一条规则将捕获所有 ipsec 流量并允许它,然后阻止所有非 ipsec 流量。然而,这只阻止了 myuser 的所有流量:
iptables -A OUTPUT -m owner --uid-owner myuser -m policy --pol ipsec --dir out -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner myuser -j REJECT