Хочу закрыть доступ в инет всем юзерам кроме себя. Есть диапазон адресов локалки. Т.е. хочу прописать че-нить вида
iptables -A OUTPUT -m owner --uid-owner ! $MY_UID -d $LOCALNET -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner $MY_UID -j ACCEPT
iptables -P OUTPUT DROP
но трабла в том что --uid-owner ! $MY_UID — нельзя так. Т.е как записать «процессы, uid которых НЕ $MY_UID"?
Последние комментарии
-
OlegL, 17 декабря в 15:00 →
Перекличка
21
-
REDkiy, 8 июня в 9:09 →
Как «замокать» файл для юниттеста в Python?
2
-
fhunter, 29 ноября 2022 года в 2:09 →
Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt?
6
-
Иванн, 9 апреля 2022 года в 8:31 →
Ассоциация РАСПО провела первое учредительное собрание
1
-
Kiri11.ADV1, 7 марта 2021 года в 12:01 →
Логи catalina.out в TomCat 9 в формате JSON
1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
достаточно вот так:
спасибо :)
Придумал еще два варианта:
iptables -A OUTPUT -m owner ! --uid-owner $MY_UID -d $LOCALNET -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner $MY_UID -j ACCEPT
iptables -P OUTPUT DROP
и ещ изврат: создаем цепочку, пакеты идущие от моего юзера направляем в нее, а там акцепт, а остальные пакеты идут далее по OUTPUT :)
вполне нормально разделение по пользователю на правило
как и на отдельные ip-адреса источника/назначения.
очень часто бывадт вот такие в конфигах строчки
iptabesl -N host1_i
iptables -N host1_o
iptables -N host2_i
iptables -N host2_o
iptables -A OUTPUT -d $host1_ip -j host1_o
iptables -A OUTPUT -d $host2_ip -j host2_o
iptables -A INPUT -s $host1_ip -j host1_i
iptables -A INPUT -s $host2_ip -j host2_i
iptables -A host1_o -p tcp --dport 137:139 -j DROP
iptables -A host1_i -p icmp --icmp-type echo-requset -j DROP
…
угу. Просто появилась у меня идея зарезать инет всем кроме себя :) А то некоторым я шеллы дал и подумал теперь «а шо если они траф сосут?» :)
Теперь не сосут ;)