О. Я вот погуглиль. Вспомнил. Нашел.
Но ценник.... Ох.

https://moxa.ru/shop/ethernet/dsl/iex-402-shdsl/

напомните сервис который для любого ipv4 хоста имеет dns запись

Такое было для в6, для в4 не помню

гранчи. под isa шину. реально работают на просто проводе. если найдете плату с isa то знаю где можно попробовать взять. но чудес по скорости не ждите. у меня все шло через крос атс. сотни метров

да понятное дело. но эти ископаемые фик найдешь...

Ну, платы с isa найти легче этих ваших херотеней

эти лехко. но дорого.

а эти надо куда-то ставить...

Весьма спорно

Хотя у меня требования определенные

Это пока ты не захотел странного, вроде берстов для разных типов трафика )) ну или вот тот же tablearg ;)

Упростил, но т.к. возможностей много и сама обработка трафика - штука сложная, то легче не стало

так это всегда сложно

Угу. В iptables были свои неприятности, но он сильно удобнее чем джампы по номерам правил в ipfw

Привет!
Нашёл пример настройки iptables для блокировки исходящего трафика от определённого юзера: https://www.cyberciti.biz/tips/block-outgoing-network-access-for-a-single-user-from-my-server-using-iptables.html

Я верно понимаю, что первая строчка для того, чтобы проходили внешние запросы к апачу? Вот этот пример:

iptables --append OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# create a new chain
iptables --new-chain chk_apache_user
 
# use new chain to process packets generated by apache
iptables -A OUTPUT -m owner --uid-owner apache -j chk_apache_user
 
# Allow 143 (IMAP) and 25 so that webmail works :)
iptables -A chk_apache_user -p tcp --syn -d 127.0.0.1 --dport 143 -j RETURN
iptables -A chk_apache_user -p tcp --syn -d 127.0.0.1 --dport 25  -j RETURN
 
# reject everything else and stop hackers downloading code into our server
iptables -A chk_apache_user -j REJECT

Первая строчка разрешает ответы на установленные извне коннекты.

спасибо, примерно так и думал.

задача запретить виртуалке, которую планирую запускать под юзером qemu, обращаться к локальной сети и локалхосту, только к интерету по http/https.
По аналогии с примером выше пока написал так:

# create a new chain
iptables --new-chain chk_qemu_user

# use new chain to process packets generated by qemu user. Add it!!!
iptables -A OUTPUT -m owner --uid-owner qemu -j chk_qemu_user

# разрешаем внешние запросы к виртуалке
iptables -A chk_qemu_user -m state --state ESTABLISHED,RELATED -j RETURN

# Запрещаем пакеты к нашим подсетям и к локальным сервисам
iptables -A chk_qemu_user -d 127.0.0.1/8 -j DROP
iptables -A chk_qemu_user -d 10.0.0.1/8 -j DROP
iptables -A chk_qemu_user -d 192.168.0.1/16 -j DROP

# запрещаем все порты кроме 80 и 443
iptables -A chk_qemu_user -p tcp -dport 80 -j RETURN
iptables -A chk_qemu_user -p tcp -dport 443 -j RETURN

# Всё остальное запрещаем
iptables -A chk_qemu_user -j DROP

# ipv6 от qemu пока запрещаем полностью, хотя лучше переделать
ip6tables -A OUTPUT -m owner --uid-owner qemu -j DROP

но что-то мне кажется, что я что-то забыл разрешить.

может проще в netns её отправить?

# create a new chain
iptables --new-chain chk_qemu_user

# use new chain to process packets generated by qemu user. Add it!!!
iptables -A OUTPUT -m owner --uid-owner qemu -j chk_qemu_user

# разрешаем внешние запросы к виртуалке
iptables -A chk_qemu_user -m state --state ESTABLISHED,RELATED -j RETURN

# Запрещаем пакеты к нашим подсетям и к локальным сервисам
iptables -A chk_qemu_user -d 127.0.0.1/8 -j DROP
iptables -A chk_qemu_user -d 10.0.0.1/8 -j DROP
iptables -A chk_qemu_user -d 192.168.0.1/16 -j DROP

# запрещаем все порты кроме 80 и 443
iptables -A chk_qemu_user -p tcp -dport 80 -j RETURN
iptables -A chk_qemu_user -p tcp -dport 443 -j RETURN

# Всё остальное запрещаем
iptables -A chk_qemu_user -j DROP

# ipv6 от qemu пока запрещаем полностью, хотя лучше переделать
ip6tables -A OUTPUT -m owner --uid-owner qemu -j DROP

ну, в целом, похоже на правду, если не забыл ни какие из адресов которые есть на локальных интерфейсах, в том числе и белые