Есть ли возможность ограничить cgroup определенным сетевым интерфейсом? Все пакеты из контрольной группы должны маршрутизироваться только через VPN-соединение, в то время как другие пакеты используют маршрут по умолчанию.
Для пользователей unix это возможно с помощью iptables «-m owner --set-mark», а затем маршрутизации с помощью «ip rule».
Можно ли сопоставить cgroup? iptables, похоже, не поддерживает это.
Поддержка iptables для -m cgroup еще не выпущена, но вы можете легко собрать расширение самостоятельно и установить его в своей системе:
git clone git://git.netfilter.org/iptables.git
cd iptables
./autogen.sh
./configure
make -k
sudo cp extensions/libxt_cgroup.so /lib/xtables/
sudo chmod -x /lib/xtables/libxt_cgroup.so
Использовать -m cgroup. Пример:
iptables -A OUTPUT -m cgroup ! --cgroup 1 -j DROP