我的系统是带有 nftables 的 debian 10。
输出nethogs如下:
? root 192.168.2.10:59100-172.217.27.138:443
? root 192.168.2.10:59086-172.217.27.138:443
? root 192.168.2.10:59082-172.217.27.138:443
? root 192.168.2.10:59062-172.217.27.138:443
? root 192.168.2.10:59058-172.217.27.138:443
? root 192.168.2.10:59054-172.217.27.138:443
? root 192.168.2.10:59030-172.217.27.138:443
? root 192.168.2.10:59026-172.217.27.138:443
? root 192.168.2.10:42314-27.19.249.194:443
? root 192.168.2.10:49788-216.58.200.234:443
但是ss -pl | grep 59100什么都没有得到,那么我打算阻止所有root进程的网络连接。
该怎么做?
答案1
和iptables,这将相当容易owner 匹配扩展:
sudo iptables -A OUTPUT -p all -m owner --uid-owner 0 -j DROP
同样地,nftables有通过套接字 UID/GID 匹配:
sudo nft add rule filter output meta skuid 0 counter