aturan iptables / pf hanya mengizinkan aplikasi / pengguna XY?

Saya pikir tidak ada solusi iptables / pf hanya mengizinkan aplikasi XY pada misalnya: port tcp 80 outbound, eth0. Jadi jika saya memiliki userid: "500" lalu bagaimana saya bisa memblokir komunikasi lain maka yang disebutkan pada port 80 / outbound / tcp / eth0? (misalnya: hanya privoxy menggunakan port 80 pada eth0)

Ekstra: virtualbox menggunakan port 80 juga? ketika browser di os tamu mengunjungi situs..bagaimana cara menyatakannya? - pengaturan pengguna normal akan terlalu banyak lubang

inilah iptablesperintah untuk mengijinkan tertentu uidmelalui port tertentu.

iptables -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner username -j ACCEPT 

dari halaman manual

[!] --uid-user userid [-userid] Cocok jika struktur file soket paket (jika ada) dimiliki oleh pengguna yang diberikan. Anda juga dapat menentukan UID numerik, atau rentang UID.

sejauh virtualbox .. Saya percaya itu menjalankan kernel sendiri ... jadi Anda mungkin ingin menggunakan --uid-ownervirtualbox pada OS host, tetapi kemudian memiliki --uid-owneraturan pemilik pada mesin virtual juga.

Mungkin juga berguna untuk mencatat bahwa --gid-ownerjuga ada, dan Anda dapat membuat grup browserdan sgidaplikasi browser Anda sehingga berjalan dengan grup yang efektif browserdan kemudian hanya menempatkan pengguna yang ingin Anda jelajahi di grup itu ... ini tidak akan menjadi solusi sempurna ... tetapi sebagian besar pengguna tidak akan mencoba menjalankan aplikasi lain sebagai grup itu, sehingga umumnya membatasi outbound ke aplikasi yang saya percaya. Saya belum mencoba ini, jadi saya tidak 100% akan bekerja seperti yang saya jelaskan.