コマンドを使用して、Debian 11のユーザーグループに固有のネットワークアクセス制限を設定しようとしていますiptables -A OUTPUT -m owner --gid-owner APIGROUP -j REJECT
。
これはAPIGROUP
グループです。このグループのユーザーはOUTPUT
チェーンから拒否する必要があります。しかし、フォーラムを閲覧したときに、グループがユーザーのデフォルトグループを意味することを読んだ。
ユーザーのデフォルトグループを変更するのは良い方法ですか?そのユーザーの権限に影響しますか?
iptablesを使って欲しいものを達成する方法はありますか?
引用:
答え1
その機能はすでに存在しています:--suppl-groups
。
最新のLinuxカーネルには、セカンダリグループのマッチングを可能にする新機能があります。 OPの質問カテゴリを解決するために追加されました。カーネル 5.32019年半ばに、この機能はDebian 11の5.10.xカーネルで利用可能になりました。
Webフィルタ
[...]
xt_owner: 補助グループオプションの追加犯罪
iptablesに一致するアップデートが存在します。1.8.4からsoはDebian 11バージョン1.8.7で利用可能です。
iptables レガシー:
- 所有者の一致に --suppl-groups オプションが追加されました。
〜のように録音されたマニュアルから:
--suppl-groups
--gid-owner
プロセスのセカンダリグループのうち、指定されたグループも確認するようにします。
構文は次のとおりです(変更が必要なようです。--suppl-groups
後ろに --gid-owner APIGROUP
):
iptables -A OUTPUT -m owner --gid-owner APIGROUP --suppl-groups -j REJECT
注:これはまれな場合のようです。iptables最近新機能が追加されましたが、nftables受信できません:現在は利用できないようです。nftables。なぜなら拡張テーブル機能的にはいつものようにそのまま維持されます。利用可能iptables-nft
またiptables-legacy
。