ограничение на интернет

squid
iptables

iproute2

iptables умеет стоить правила на uid, на локальной машине

> iptables умеет стоить правила на uid, на локальной машине
Точнее модуль libipt_owner.so... Жаль, что работает это только для исходящих пакетов.

... а еще административно можно.
А что имеется в виду под "ограничить выход в интернет"?

Ну если интересует именно подсчет tcp можно и костылями обойтись

>Точнее модуль libipt_owner.so... Жаль, что работает это только для исходящих пакетов.
А ты без возможности отправить запрос и получить ничего не сможешь... :-))))

> А ты без возможности отправить запрос и получить ничего не сможешь... :-))))
И запросто :-) Залезу на тачилу и повешу там какой-нибудь свой сервер. Как посчитать все, что пришло именно на мой сервер ??? Порт может быть динамическим..... Как отследить ?
К примеру: user-ам надо дать возможность пользоваться ICQ. Прием передача там, на сколько я понимаю, идет от клиента к клиенту. Т.е. чтоб кто-то смог послать вам файл, он должен иметь возможность подключиться к вашему ICQ клиенту. Соответственно ICQ клиент должен иметь возможность создать серверный сокет и получать на него пакеты.

А фразой "Жаль, что работает это только для исходящих пакетов." я хотел сказать, что мне бы очень хотелось, чтоб и для входящих пакетов можно было анализировать владельца программы-получателя, т.к. если надо считать траффик user-ов, то получится считать только исходящий. А в BSD (ipfw) ведь это возможно...

Спасибо! Я немного некорректно выразился, не "ограничить", а запретить. Настрою iptables, он еще не стоит, но сразу вопрос: где взять модуль libipt_owner.so? Система шлакваре. Спасибо за разъяснения.

> где взять модуль libipt_owner.so?
Точно не скажу, но если нормально конфигурить ядро (так чтоб в .config была запись "CONFIG_IP_NF_MATCH_OWNER=y" или "...=m"), а потом компилить iptables, желательно не удаляя последствия компиляции ядра (не делая "make clean" или "make mrproper"), то все должно работать.

У меня ядро 2.4.22 и я не нашел в нем опцию "CONFIG_IP_NF_MATCH_OWNER" :( есть много различных опций "CONFIG_IP_NF_MATCH_....", а вот этой нету. IPTables я вообще никогда не настраивал прежде, подскажите где что не так :(
P.S. Скачал iptables-1.2.8 но там нету пакета patch-o-matic, в котором, как говорится в INSTALL могут быть доп. возможности, там же говорится, что теперь он в отдельном файле.
Делал как говорится в туториале, "make pending-patches KERNEL_DIR=/usr/src/linux/", но, видать из-за приведенных выше изменений, мне ответили :
"make pending-patches KERNEL_DIR=/usr/src/linux/
Making dependencies: please wait...
make: *** Нет правила для сборки цели `pending-patches'. Останов."
Помогите плз.

P.P.S я еще не компилировал ядро с поддержкой iptables, может это из-за этого? Сейчас попробую.

скомпилировал, не помогло :(

iptables -A OUTPUT -o eth0 -m owner --uid-owner 1001 -j DROP

вроде это должно не пропускать весь исходящий траффик на интерфейс, без опции -m owner --uid-owner 1001 все так и происходит, но с ней выводится следующее:

iptables: No chain/target/match by that name

Я думаю это из-за того, что у меня нет в ядре этой опции, ядро у меня 2.4.22, где мне можно это взять? Помогите плз, очень надо.

> есть много различных опций "CONFIG_IP_NF_MATCH_....", а вот этой нету.
Ну так допишите руками ! :-) Не думаю конечно, что она могла измениться в 2.4.22.