服务器 Gind.cn
  1. 服务器 Gind.cn
  3. iptables规则根据本地用户ID设置源IP
Intereting Posts
Google Apps – 我可以configuration通配符MXlogging,并捕获域的所有emai地址 Postfix mailq – 每x分钟发送一次 如何重新发送由完整邮箱阻塞的所有电子邮件 有没有无服务器的分布式文件系统? ASP和MVC返回ASCII看字符 你如何应用代理设置而不是每个用户? nginx提供大图片 打开堆栈,试图启动实例:libvirtError:不支持的configuration:CPU规范不被pipe理程序支持 如何debuggingmodsecurity_audit_log 有人可以帮我find简洁和完整的WDS说明吗? 交易可以强制在MySQL中顺序发生? 可以在两个不同的独立域之一中识别和validationldap用户? 我如何创build多个共享一组或RewriteRules的VirtualHost条目? 使用Ubuntu Enterprise Cloud OS构build云WebHosting Dockerfile与安全的Apache httpd服务器关于SSLauthentication文件的担忧分离

iptables规则根据本地用户ID设置源IP

我有两个用户,alpha(uid 500)和beta(uid 501),以及两个分配为eth0和eth0:1的IP地址。 我希望所有由用户alpha启动的进程发出的数据包都标记为eth0的源IP地址,而来自用户beta进程的所有数据包都将标记为eth0:1的源IP地址。

从search这个论坛和其他地方的可用答案,我发现我应该这样做: 

# mark packets with 11 or 12 depending which user they came from: iptables -A OUTPUT -m owner --uid-owner 500 -j MARK --set-mark 11 iptables -A OUTPUT -m owner --uid-owner 501 -j MARK --set-mark 12 # now, for a packet having mark 11 (or 12), set source IP to 192.168.1.1 (or .2) iptables -t nat -I POSTROUTING -m connmark --mark 11 -j SNAT --to-source 192.168.1.1 iptables -t nat -I POSTROUTING -m connmark --mark 12 -j SNAT --to-source 192.168.1.2

上述工作? 有一个更简单的(一步,而不是两步)设置? 我怎样才能使用tcpdump来validation它的工作,的确如此?

不幸的是,由于netfilter工作方式,你不能做一个“一步”的设置。

  • 数据包所有者只能在OUTPUT链中检测到,但是
  • SNAT只能在POSTROUTING链中执行

这就是说,我不推荐使用SNAT,而是推荐使用netfilteriproute2的组合,例如:

对于netfilter

 iptables -A OUTPUT -m owner --uid-owner 500 -j MARK --set-mark 500 iptables -A OUTPUT -m owner --uid-owner 501 -j MARK --set-mark 501

对于iproute2

 ip rule add fwmark 500 table 500 ip rule add fwmark 501 table 501 ip route add default via $gateway dev eth0 src $ip_eth0 table 500 ip route add default via $gateway dev eth0 src $ip_eth0_1 table 501