PC1 在具有 iptables 的 centOS 上運行,並分配了 5 個 ip (192.168.10.11-192.168.10.15) 和 10 個使用者 (User1 - User9)。我想要的只是限制單一ip的UDP和TCP流量(192.168.10.11)給用戶(用戶1),這樣所有的傳入和傳出UDP協定和TCP協定流量只能由使用者使用(用戶1)。
(ps 我看過很多人在 freebsd 上使用 ipfw 這樣做)
答案1
我確實不知道有什麼機制可以做到這一點,因為它會破壞事情。如果他們透過 VPN 登入怎麼辦?或以其他遠端方式存取? IP 可以與裝置綁定/關聯,而不是與人綁定/關聯。使用者名稱與人相關。
如果您確實希望特定使用者擁有特定 IP,請為他們分配特定的電腦/筆記型電腦/設備,並允許他們僅存取該設備上的資源。在 AD 中,您可以鎖定他們使用的電腦、過濾該電腦的 IP 對資源的存取等。
答案2
實際上,最好的方法是為每個使用者建立一個虛擬機,並將您希望他們使用的 IP 指派給該虛擬機。
配對user不會iptables像您期望的那樣工作,因為並非所有資料包都由使用者擁有。例如,ICMP 和傳入資料包都不由使用者“擁有”,因此永遠不會匹配,您不能用來iptables強制應用程式綁定到特定位址等。