encaminha o tráfego de um cgroup através de uma interface de rede específica

4

Existe a possibilidade de restringir um cgroup a uma interface de rede específica? Todos os pacotes do cgroup só devem ser roteados através de uma conexão VPN, enquanto outros pacotes usam a rota padrão.

Com usuários unix é possível com iptables "-m owner --set-mark" e então roteando com "ip rule".

É possível combinar um cgroup? O iptables parece não ter suporte para isso.

    
por allo 09.12.2013 / 19:14

2 respostas

4

O suporte a iptables para -m cgroup ainda não foi lançado, mas você pode facilmente construir a extensão e instalá-la em seu sistema:

git clone git://git.netfilter.org/iptables.git
cd iptables
./autogen.sh
./configure
make -k
sudo cp extensions/libxt_cgroup.so /lib/xtables/
sudo chmod -x /lib/xtables/libxt_cgroup.so
    
por 25.10.2015 / 06:58
1

Use -m cgroup . Exemplo:

iptables -A OUTPUT -m cgroup ! --cgroup 1 -j DROP

De: link

    
por 01.06.2014 / 21:44