如何使用 iptables 将端口 80 限制为只有一个用户

Question

我想限制 80 端口，以便只有一个用户可以使用它。我想用 iptables 来做到这一点，但我没有找到任何有关如何执行此操作的文档。

Answer 1

如果您的意思是“具有离散 uid 的本地用户”，那么您可以使用所有者模块 (-m Owner) 和 --uid-owner # 选项。

但这里有一些问题：

1. 这只适用于出站数据包。
2. 有些数据包没有所有者。

就其本身而言，这些通常可能不会破坏交易。但是您需要有效地反转与用户不匹配的条件数据包和块数据包。我怀疑这将足以破坏协议处理，以至于简单的尝试都会失败。

我想说，将您知道将具有用户关联的端口 80 输出转发到单独的链，然后按用户仅过滤该链。这应该足以破坏其他用户的流量，但不会破坏内部流量，从而总体上满足您的要求。

Answer 2

iptables 有 -mowner --uid-owner ### 匹配，“如果数据包是由具有给定有效用户 ID 的进程创建的，则匹配”