19.6.6. Фильтрация по отдельным пользователям

19.6.6. Фильтрация по отдельным пользователям

Если IPChains умел отфильтровывать только пакеты, исходящие от определенного компьютера, то теперь мы можем выделять пакеты отдельных пользователей. Для этого предназначены следующие критерии, которые могут использоваться только для исходящих пакетов в цепочке OUTPUT:

--uid-owner UID — отбор пакетов по UID пользователя;

--gid-owner GID — отбор по группе (GID);

--pid-owner PID — отбор по идентификатору процесса;

--sid-owner SID — отбор по идентификатору сеанса.

Например, выделить все пакеты, исходящие от пользователя с UID 500, можно так:

iptables -A OUTPUT -m owner --uid-owner 500

Аналогично мы можем ограничивать исходящие пакеты группы или процесса:

iptables -A OUTPUT -m owner --gid-owner 0

iptables -A OUTPUT -m owner --pid-owner 78

Естественно, мы можем сделать это только для исходящих пакетов, поскольку мы не знаем, какой UID имеет пользователь другой системы: информация об этом не передается по протоколу TCP.

Данный текст является ознакомительным фрагментом.



Поделитесь на страничке

Похожие главы из других книг:

Приложение 1. Обращение разработчиков Tor к пользователям

Из книги автора

Приложение 1. Обращение разработчиков Tor к пользователям На сайте Torproject.org имеется следующее обращение разработчиков системы Tor к пользователям: Хотите чтобы Tor заработал по настоящему? ... тогда пожалуйста поймите, что не достаточно просто установить его и начать


Ситуация 8. Пользователям необходима электронная телефонная книга

Из книги автора

Ситуация 8. Пользователям необходима электронная телефонная книга Технический бандит. Пишет программу на RDBMS, perl и Smalltalk. Отчаявшиеся пользователи возвращаются к использованию записных книжек.Администратор-фашист. Устанавливает Oracle. Отчаявшиеся пользователи


Фильтрация

Из книги автора

Фильтрация Система позволяет фильтровать объекты по одному или нескольким признакам. Для этого щелкните кнопкой мыши на стрелке заголовка интересующего вас столбца и отметьте флажками категории, соответствующие условию отбора. Выполните эту же операцию для другого


(6.2) Как обеспечить доступ пользователям локальной сети к моим ресурсам?

Из книги автора

(6.2) Как обеспечить доступ пользователям локальной сети к моим ресурсам? Сделать это стало немного сложнее, чем в W9х, зато возможностей по настройке стало гораздо больше. Для начала, как и в W9x надо убедиться, что установлен File and Printer Sharing for Microsoft Networks. После этого, открываем


10.5.1. Запрет доступа реальным пользователям

Из книги автора

10.5.1. Запрет доступа реальным пользователям Так как сервер wu-ftp работает с учетными записями ОС, которые расположены в файле /etc/passwd, то любой пользователь автоматически сможет работать с FTP-сервером, используя свой аккаунт и права доступа. Но далеко не всем это


8.1. Как обеспечить доступ к моим ресурсам другим пользователям сети?

Из книги автора

8.1. Как обеспечить доступ к моим ресурсам другим пользователям сети? C самого начала в системе существует папка под названием Shared Documents, расположенная в Document and SettingsAll UsersShared Documents, которая расшарена по умолчанию, и очень удобна для обмена файлами и документами, причём не


16.3.11. Директивы управления доступом к отдельным каталогам

Из книги автора

16.3.11. Директивы управления доступом к отдельным каталогам Вы можете определить отдельные параметры для каждого каталога вашего сервера — оформление каталога, параметры доступа к этому каталогу.Блок директив DirectoryБлок директив Directory определяет свойства каталога (см.


Зарегистрированным пользователям – низкие цены

Из книги автора

Зарегистрированным пользователям – низкие цены Вы можете поднять цены на 10 % и предлагать посетителям зарегистрироваться, чтобы получить постоянную скидку, например 7 %. Многие люди не любят регистрироваться в интернет-магазине (особенно если они попали в него впервые).


Советы пользователям системы WebMoney

Из книги автора

Советы пользователям системы WebMoney Как мы уже отмечали ранее, электронные платежные системы притягивают мошенников подобно магниту. Поскольку самой популярной такой системой является WebMoney, мы дадим несколько советов и рекомендаций ее пользователям, соблюдение которых


Приложение 1. 70 советов пользователям 3ds Max

Из книги автора

Приложение 1. 70 советов пользователям 3ds Max В то время, когда я начинал заниматься трехмерным моделированием, книг на эту тему практически не было и приходилось во многом разбираться самостоятельно, собирая информацию в Интернете. Теперь, накопив достаточно опыта, я могу


Предоставление роли пользователям

Из книги автора

Предоставление роли пользователям В операторе GRANT для предоставления роли пользователям опускается предложение ON- здесь неявно используются полномочия, "загруженные" в роль.GRANT <имя-роли> [, <имя-роли> [, ...]]TO [DSER] <имя-пользователя> [, [OSER] <имя-пользователя> [, ...]]


Фильтрация

Из книги автора

Фильтрация Множества узлов, которые получаются в результате вычисления выражений, можно фильтровать — то есть выбирать из них узлы, удовлетворяющие заданным свойствам подобно тому, как это делалось предикатами в шагах выборки.В выражениях множества узлов могут также


Предоставление другим пользователям прав суперпользователя

Из книги автора

Предоставление другим пользователям прав суперпользователя Меня нередко просят предоставить обычным пользователям право выполнять привилегированные операции, разрешенные только администратору. Это может быть опасно, и здесь требуется большая осторожность.В UNIX/Linux


Фильтрация

Из книги автора

Фильтрация В режиме фильтрации вы можете выбрать для просмотра только одну или несколько групп файлов, которые отвечают определенным условиям. Для этого щелкните кнопкой мыши на стрелке справа от нужного заголовка и установите флажки возле названий интересующих вас