PID подключения журнала IPTables в цепочке OUTPUT

я пытаюсь найти pid сокета, используя цепочку iptables OUTPUT log, а еще лучше добавляя ее в лог.

Мое текущее правило iptable:

sudo iptables -A ВЫВОД -j ЖУРНАЛ --log-prefix='[PID]' --log-level 7 --log-uid

Я немного расстроен, так как знаю, что iptables' владелец модуль может фильтровать элементы по pid (с использованием -m владелец --owner-pid флаг), что означает, что информация есть, но я не могу ее зарегистрировать.

Я знаю, что это невозможно сделать с цепочкой INPUT, так как iptables — это процесс ядра, но для цепочки OUTPUT это должно быть возможно.

Есть идеи? или даже о том, как скрестить некоторые данные журнала, чтобы получить PID цепных соединений OUTPUT?

Таким образом, в настоящее время IPtables не могут фильтровать пакеты на основе PID. Но вы можете сделать это на основе UID или GID:

варианты соответствия владельца:
[!] --uid-owner userid[-userid] Совпадать с локальным UID
[!] --gid-owner groupid[-groupid] Совпадать с локальным GID
[!] --socket-exists Соответствовать, если сокет существует
    --suppl-groups Также сопоставлять дополнительные группы, установленные с --gid-owner

Вы можете добавить нового пользователя, а затем запустить приложение от имени только что созданного пользователя:

sudo -u пользовательское приложение

Если у вас есть существующие пользователи, например, постфикс, у которых уже есть учетные записи пользователей, вы можете сделать это:

Сначала найдите UID пользователя:

[root@mail ~]# cat /etc/passwd | постфикс grep
постфикс:x:89:89::/var/spool/postfix:/sbin/nologin

Во-вторых, добавьте это правило iptables. Обратите внимание на то, где вы хотите это в своей цепочке OUTPUT:

/usr/sbin/iptables -A ВЫВОД -m owner --uid-owner 89 -j LOG --log-prefix "POSTFIX: "

И тогда все пакеты от пользователя постфикс будет зарегистрировано.