avatar

tetsai

原创声明

本文由tetsai原创,转载请注明来源

–uid-owner 可以筛选是哪个用户名,  –gid-owner 可以筛选哪个用户名组产生的数据包

>-错误用法举例

只能用于 OUTPUT 链 /POSROUTING 链中,显然啊INPUT是不可以的。

iptables -A INPUT -p all -m owner --uid-owner 用户名或id -j DROP
iptables -A INPUT -p all -m owner --gid-owner 组名或id -j DROP

>-正确用法举例

iptables -A OUTPUT -p all -m owner --uid-owner 用户名或id -j DROP
iptables -A OUTPUT -p all -m owner --gid-owner 组名或id -j DROP
#也可以加--dport 80指定端口号

实战操作

目标用户执行ping进行正常工作

当我执行iptables -A OUTPUT -p all -m owner --uid-owner 用户名或id -j DROP

会发现,瞬间ping就没有网络了.

进阶操作

可以创建一个特殊的用户组,叫nonet组,然后执行

iptables -A OUTPUT -p all -m owner --gid-owner nonet -j DROP

这样把不希望联网的用户加入该组即可限制此用户的联网操作.(用户需要注销再登陆才生效)

参考资料:https://suchalin.wordpress.com/2013/05/21/iptables%E9%99%90%E5%88%B6%E7%94%A8%E6%88%B7%E7%94%A8%E6%88%B7%E7%BB%84%E8%AE%BF%E9%97%AE/

发表评论

电子邮件地址不会被公开。 必填项已用*标注