如何阻止本地用户访问本地端口?
示例:用户Elvis不应该有权访问同一台服务器上的端口25600。
iptables有一个你可以使用的所有者模块
该模块试图匹配数据包创build者的各种特性,用于本地生成的数据包。 它只在OUTPUT链中有效,甚至有些数据包(如ICMP ping响应)可能没有所有者,因此永远不会匹配。
你会想要使用
–uid-owner userid如果数据包是由具有给定的有效用户标识的进程创build的,则匹配。
你只需要将其与其他合适的iptables参数相结合,例如–dport,使filter适合你。
Iain提到的完整命令看起来像这样
iptables -t filter -A OUTPUT -p tcp --dport 25600 --match owner --uid-owner 503 -j DROP 只要记住编辑--uid-owner 503到用户Elvis的正确UID