iptables "--uid-owner"ルールはバイパスされますか?

iptables "--uid-owner"ルールはバイパスされますか?

UID 1000を除くすべての人がインターネットにアクセスできないようにするiptablesフィルタを構築しようとしています。これが私が今まで持っているものです:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m owner --uid-owner 1000 -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-net-unreachable
-A OUTPUT -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

ルート(UID 0)で次のコマンドを実行しようとすると:

curl http://ipecho.net/plain
curl: (7) Failed to connect to ipecho.net port 80: Network is unreachable

iptablesは必要に応じてそれをブロックします。しかし、これをrootとして試してみると、次のようになります。

curl --proxy socks5h://localhost:7777 http://ipecho.net/plain
_ip_address_

すべて最高です。他のユーザーがプロキシを使用しても、すべてのインターネットアクセスをブロックするには何を変更する必要がありますか?

答え1

ローカルプロキシを使用している場合、発信ネットワークトラフィックにはエンドユーザーではなくプロキシが所有するuidがあります。エージェントがuid 1000で実行されているとします。プロキシとして何を使用しますか?

指定されたローカルユーザーのみが使用できるように構成できるプロキシを使用する必要があります。

関連情報