--uid-owner 和 --gid-owner 这两个选项用来匹配数据包由哪个用户和哪个用户组所产生,它们的功能由 xt_owner.ko 模块提供,且仅适用在 OUTPUT 链 POSROUTING 链中。
--uid-owner userid | username
该选项用来匹配数据包由哪个用户产生,因此可以利用这来限制该用户只能访问某些特定的网络服务,比如只能浏览网站:
[Bash shell] 纯文本查看 复制代码
iptables -A OUTPUT -p tcp -m owner --uid-owner beyes --dport 80 -j ACCEPT
iptables -A OUTPUT -p udp -m owner --uid-owner beyes --dport 53 -j ACCEPT
iptables -A OUTPUT -p all -m owner --uid-owner beyes -j DROP
上面的第 1 条和第 2 条规则分别表示放行 beyes 这个用户发出的 HTTP 请求数据包以及允许他进行 DNS 查询。第 3 条规则表示除了第 1 和第 2 条规则所做的允许之外,其它的访问网络服务行为都不被允许。
--gid-owner groupid | groupname
该选项和 --uid-owner 类似,它用来匹配某个用户组所产生的数据包。
这两个选项只能在本机使用,而不能用在网关上去限制谁或允许谁上网,因为网关上的用户和用户组是不可能和所有内网上的客户机的用户与用户组匹配对应的。可能会有疑问,那这样的功能有什么用?确实,对于个人来说,是没什么用。但是在某些企业里,员工的工作用机是不能连接因特网的,要想上网也只能通过某台特定的计算机上网,而公司却只允许操作该台计算机的员工仅能用来浏览网站查找资料,而不允许用它来做别的网络服务,比如下载 FTP,使用聊天软件等等。 | 
窥视卡
雷达卡
发表于 2012-5-23 12:07:38
收藏
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡