iptables实用程序允许规则匹配基于进程的uid或gid与以下内容:
sudo iptables -A OUTPUT -m owner --uid-owner root -j ACCEPT 我也想添加一个规则,允许一个名为“netaccess”的组中的所有成员使用出站stream量。 我尝试了以下内容:
sudo groupadd -r netaccess # This created the group with gid 999 sudo usermod -aG netaccess <myUser> sudo iptables -A OUTPUT -m owner --gid-owner netaccess -j ACCEPT
但是,我的出站stream量仍然被阻止。 我已经validation了iptables规则是在最终的REJECT规则之上创build的,所以这不是问题。 相反,当使用iptables -m owner和--gid-owner选项时,它似乎比较了进程的确切gid,而不是检查gid是否在所有者的补充组列表中(如/ etc / group )。 我通过查看这个页面find了这个(Ctrl + F为“所有者”): http : //ipset.netfilter.org/iptables-extensions.man.html
有没有办法使用iptables将规则匹配到补充组的所有成员? 我想像下面这样的工作:
sudo iptables -A OUTPUT -m owner --gid-member netaccess -j ACCEPT
我在Ubuntu 14.04上运行,并有iptables v1.4.21。