Eu não vejo a possibilidade de forçar soquetes para uma determinada porta, mas você pode impedir que outras portas sejam usadas com sucesso. Isso pode ser feito por iptables
e seu módulo owner
. Você pode eliminar todas as respostas de processos pertencentes a esse usuário de endereços não permitidos.
Se esta é uma opção para você e você não sabe como fazê-lo, deixe-me saber e vou entregar um código adicional.
Editar 1
A solução é bloquear todos os pacotes desse usuário que pertence
- nem para uma conexão que esse usuário tenha aberto (ou seja, ele não está escutando em nenhuma porta)
- nem envia de uma porta permitida.
Você está certo, owner
não funciona no INPUT, mas precisamos apenas de OUTPUT. Para tornar as coisas mais fáceis (e mais rápidas) marcamos todos os pacotes permitidos (deste usuário) com 42, todos desaprovados com 41. Marcar os não permitidos seria suficiente.
Funciona assim:
- Todos os pacotes (conexões) desse usuário são selecionados para tratamento especial
- Todos os pacotes estão marcados com 41 (não permitidos). Para conexões permitidas, isso é sobregravado posteriormente.
- Todas as conexões com um primeiro pacote gerado localmente são permitidas
- Tudo o que resta não foi criado localmente. Largue tudo não de lo
- Agora, permita todas as conexões com uma porta de origem permitida (sorce da resposta, por exemplo, porta local)
- Última etapa: descartar todos os pacotes marcados com 41.
Editar 2
A abordagem com a tabela nat
falhou (para conexões de entrada porque somente o primeiro pacote de uma conexão é verificado em nat
e o primeiro é o que chega a -t nat INPUT
somente onde o módulo owner
é não disponível). Assim, toda a verificação e marcação é feita na tabela padrão ( filter
) agora.
O script:
#!/bin/bash
# MODIFY NEXT LINE
user=hl
# iptables -F
# iptables -t nat -F
# iptables -t mangle -F
iptables -N user_x &>/dev/null
iptables -N user_x_ports &>/dev/null
iptables -N user_x_allow &>/dev/null
iptables -N user_x_block &>/dev/null
# configure chain user_x_allow
iptables -A user_x_allow -j CONNMARK --set-mark 42
iptables -A user_x_allow -j ACCEPT
# configure chain user_x_block
iptables -A user_x_block -j CONNMARK --set-mark 41
iptables -A user_x_block -j DROP
# configure chain user_x_ports
# one line for each allowed port
iptables -A user_x_ports -p tcp --sport 1234 -j user_x_allow
# configure chain user_x
iptables -A user_x -m conntrack --ctstate NEW -j user_x_allow
iptables -A user_x \! -o lo -j user_x_block
iptables -A user_x -j user_x_ports
iptables -A user_x -j user_x_block
# the first two rules are just for checking what happens with "iptables -L -nv"
# and can be commented out
index=1
iptables -I OUTPUT "$index" -m owner --uid-owner $user; ((index++)) # just count
iptables -I OUTPUT "$index" -m owner --uid-owner $user -m connmark --mark 0; ((index++)) # just count
iptables -I OUTPUT "$index" -m connmark --mark 41 -j DROP # or reset
((index++))
iptables -I OUTPUT "$index" -m connmark --mark 42 -j ACCEPT
((index++))
# this matches non-marked (new) connections only
iptables -I OUTPUT "$index" -m owner --uid-owner $user -j user_x
((index++))