Debian
iptables 組匹配:修改使用者的主組
我正在嘗試使用命令配置特定於 Debian 11 上的一組使用者的網路訪問限制
iptables -A OUTPUT -m owner --gid-owner APIGROUP -j REJECT。這裡
APIGROUP是一組。該組中的使用者應在OUTPUT鏈中被拒絕。但是當我瀏覽論壇時,我讀到這個組是指使用者的主要組。更改使用者的主要組是一種好習慣嗎?對這些使用者的權限有影響嗎?
有什麼方法可以使用 iptables 實現我想要的嗎?
參考:
該功能已存在:
--suppl-groups。最近的 Linux 核心有一個更新的特性,允許匹配補充組。它被添加以解決2019 年中期核心 5.3中的 OP 問題類別,因此已在 Debian 11 的 5.10.x 核心中可用。
- 網路過濾器
$$ … $$
xt_owner:添加補充組選項送出
iptables 的匹配更新從 1.8.4開始存在,因此在 Debian 11 的 1.8.7 中可用:
iptables 舊版:
- 將 –suppl-groups 選項添加到所有者匹配。
如手冊中所述:
--suppl-groups導致
--gid-owner在過程的補充組中也檢查指定的組。語法變為(似乎必須放在
--suppl-groups後面--gid-owner APIGROUP):iptables -A OUTPUT -m owner --gid-owner APIGROUP --suppl-groups -j REJECT注意:這似乎是iptables最近收到一個新功能但nftables沒有收到它的罕見情況:這似乎目前不適用於nftables。由於它是一個xtables功能,因此
iptables-nft除了iptables-legacy.