Eu não entendo porque a comunidade do Ubuntu construiu iptables sem suporte a cgroups e o que eu não entendo se a comunidade não fez isso? Talvez o Ubuntu use outro de alguma forma (iptables sem cgroup etc)? É claro que eu posso remover (ou não remover) o pacote iptables e compilar o iptables do zero, mas é o caminho certo para a filosofia do Debian, eu não sei. O sabj foi criado a partir desse tópico Bloquear o acesso à rede de um processo? onde o homem dá conselhos use controle de rede por processo com cgroup.
mkdir /sys/fs/cgroup/net_cls/block
echo 42 > /sys/fs/cgroup/net_cls/block/net_cls.classid
iptables -A OUTPUT -m cgroup --cgroup 42 -j DROP
echo [pid] > /sys/fs/cgroup/net_cls/block/tasks
Eu instalei libs cgroup, e bin, mas quando eu executo o iptables, então pegue o erro:
iptables -A OUTPUT -m cgroup --cgroup 42 -j DROP
iptables v1.4.12: Couldn't load match 'cgroup':No such file or directory
Try 'iptables -h' or 'iptables --help' for more information.
Como acertar isso, pessoas?
Até o momento, não houve liberação de iptables com suporte a cgroups. O último iptables é o 1.4.21, que foi lançado em novembro de 2013 (afaik). O suporte do Cgroups foi adicionado mais tarde e nunca foi lançado oficialmente. Essa é provavelmente a razão pela qual não há novos iptables na grande maioria das distribuições (incluindo, por exemplo, Arch).