स्थानीय, संवादात्मक उपयोगकर्ताओं के लिए फ़ायरवॉल नियम?

मैं एक फ़ायरवॉल नियम जोड़ना चाहता हूं जो स्थानीय इंटरैक्टिव उपयोगकर्ता पर लागू होता है। इरादा बॉक्स को बंद करना है, और केवल वेब और मेल से संबंधित कनेक्शन और सेवा कनेक्शन को अपडेट करने की अनुमति देना है। इस अवसर पर, मुझे एक सेटिंग देखने के लिए एक ब्राउज़र खोलना होगा, ताकि जब मैं कीबोर्ड पर बैठा रहूँ तो मुझे आउटबाउंड कनेक्शन की अनुमति देनी पड़े।

लिनक्स iptables पॉकेट संदर्भ विषय को संबोधित नहीं करता।

प्रश्न : क्या एक फ़ायरवॉल नियम जोड़ना संभव है जो "स्थानीय उपयोगकर्ता" और "इंटरैक्टिव उपयोगकर्ता" ऑब्जेक्ट के आधार पर फ़िल्टर करता है?

आप मूल प्रक्रिया के uid के आधार पर आउटगोइंग पैकेट को फ़िल्टर कर सकते हैं। उदाहरण के लिए:

iptables -A OUTPUT -m owner --uid-owner some_user -j DROP

इंटरैक्टिव और गैर-इंटरैक्टिव प्रक्रियाओं के बीच iptables भेद करने में सक्षम नहीं है। लेकिन आप इसके लिए लिनक्स सीजीआरओपी में देखना चाहते हैं । विशेष रूप से, net_cls सबसिस्टम । आप net_cls सबसिस्टम के साथ पैकेट को टैग कर सकते हैं, और फिर उन्हें iptables से फ़िल्टर कर सकते हैं। तो यह प्रक्रिया पहले इंटरएक्टिव उपयोगकर्ता के शेल को net_cls cgroup में डालती है जो आउटगोइंग पैकेट को टैग करता है, और फिर उन पैकेट को iptables से फ़िल्टर करता है।