Почему сопоставление пакетов с помощью processn возвращает unkown option
Я пытаюсь сопоставить пакеты по имени процесса в iptabes. Я пробовал это с помощью ping и примера, который я получил от: https: //www.frozentux. net / iptables-tutorial / iptables-tutorial.html # OWNERMATCH
Я ввел следующие команды:
iptables -N mychain
iptables -A OUTPUT -m owner --cmd -owner ping -j mychain
Однако я получаю:
iptables v1.4.21: unknown option "--cmd-owner"
Try 'iptables -h' or 'iptables --help' for more information.
Когда я это делаю, я не вижу "--cmd-owner "вариант. Это потому, что эта опция больше не доступна в iptables v1.4.21? Может ли кто-нибудь сказать мне, как я могу вычислить пакеты для каждого процесса на моем хосте, если эта опция больше не доступна?
Очевидно, он был удален из iptables в какой-то момент ... Я не могу понять, когда именно. Я нашел этот отчет об ошибке Ubuntu.
https://bugs.launchpad.net/ubuntu/+source/iptables/+bug/800781
Нет никаких упоминаний об его удалении из git, но есть ссылка до того момента, когда он был добавлен изначально.
https://git.netfilter.org/iptables/log/?qt=grep&q=cmd-owner
Наконец нашел здесь: http://www.spinics.net/lists/netfilter/ msg49716.html
commit 34b4a4a624bafe089107966a6c56d2a1aca026d4
Author: Christoph Hellwig <hch@xxxxxx>
Date: Sun Aug 14 17:33:59 2005 -0700
[NETFILTER]: Remove tasklist_lock abuse in ipt{,6}owner
Rip out cmd/sid/pid matching since its unfixable broken and stands in the
way of locking changes to tasklist_lock.
Signed-off-by: Christoph Hellwig <hch@xxxxxx>
Signed-off-by: Patrick McHardy <kaber@xxxxxxxxx>
Signed-off-by: David S. Miller <davem@xxxxxxxxxxxxx>
It's a little late to come with "I need this" 5 years after the fact.
>Is there any alternative for this? I mean to set up a static rule that
>assigns specific command-line netfilter acls?
SELinux, SNET, or other LSMs.
Прошу прощения, если это не кажется таким полезным. Это лучшее, что я могу сделать. Я не очень хорошо разбираюсь в iptables.