"neta"그룹의 구성원을 제외한 모든 사용자에 대해 IP 1.2.3.4에 대한 액세스를 비활성화하려고합니다. 이것은 내가이 문제에 대해서만 만든 새로운 그룹입니다.iptables --gid-owner는 사용자의 주 그룹에만 적용됩니다.
이렇게하면 그룹 "neta"의 구성원 인 모든 사용자에 대해 1.2.3.4에 대한 액세스가 비활성화됩니다.
나는 사용자 xx가 있으며 그는 xx (기본 그룹) 및 neta 그룹의 회원입니다. 규칙을 다음과 같이 변경하는 경우 :
iptables -I OUTPUT -o eth0 -p tcp -d 1.2.3.4 -m owner \! --gid-owner xx -j REJECT
사용자 xx를 제외한 모든 사용자는 1.2.3.4를 액세스 할 수 없습니다.
나는이 그룹 XX에 루트를 추가 :usermod -a -G xx root
하지만 루트 나는 모든 것이 예상대로 작동 규칙에 주요 사용자 그룹 (루트, XX)를 추가 여전히 IP.If에 액세스 할 수 없습니다.
난 그냥 확실하게 (거부 로그)이 규칙을 spliting 시도 :iptables -A OUTPUT -o eth0 -p tcp -d 1.2.3.4 -m owner --gid-owner neta -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 1.2.3.4 -m limit --limit 2/s --limit-burst 10 -j LOG
iptables -A OUTPUT -o eth0 -p tcp -d 1.2.3.4 -j REJECT
을하지만 차이가 없습니다. 모든 것이 거부되고 있습니다.
다른 iptables 규칙은 없습니다.
[email protected]:~# iptables -nvL
Chain INPUT (policy ACCEPT 19 packets, 1420 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 10 packets, 1720 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 1.2.3.4 owner GID match 1001
0 0 LOG tcp -- * eth0 0.0.0.0/0 1.2.3.4 limit: avg 2/sec burst 10 LOG flags 0 level 4
0 0 REJECT tcp -- * eth0 0.0.0.0/0 1.2.3.4 reject-with icmp-port-unreachable
나는 (DIS) 할 수있을이 "NetA에서"그룹에서 사용자를 추가/제거하는 대신 모든 사용자의 iptables 규칙을 추가하여이 IP에 액세스 할 수 있도록합니다.