iptablesに出てくるパケットを表示し、応答を通じて識別できますか?非常に単純な発信規則があります。
iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED --m owner --uid-owner XXX -j ACCEPT
このルールの応答を受け入れる1つの方法は、ESTABLISHED、RELATED状態に入ってくるすべてのパケットを受け入れることです。
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
しかし、これが厳密に構成されたファイアウォール設定を台無しにするのではないかと心配です。代わりに、この発信パケットを「表示」/「タグ」してから、応答を調べる方法を探しています。私はiptablesにそれがあることを知っていますが、--set-markそれは私が望む方法で動作しないようです。
私は次のようなものを探しています:
iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED -m owner --uid-owner 122 -m mark --set-mark 0x10 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -m mark --mark 0x10 -j ACCEPT
私はマークがマングルテーブルで発生することを知っていますが、これは私が望むものを説明するための一例です。