Linux: การสำรองพอร์ตย้อนกลับให้กับผู้ใช้ที่ไม่มีการรับรองความถูกต้อง เป็นไปได้ไหม

ฉันต้องการให้ผู้ใช้ที่เริ่มกระบวนการฟังบนพอร์ตบนอินเทอร์เฟซย้อนกลับเป็นผู้ใช้คนเดียวที่สามารถเชื่อมต่อกับพอร์ตนี้ได้ สำรองท่าเรือ. ไม่มีการรับรองความถูกต้อง

ฉันต้องการให้ผู้ใช้รายอื่นสามารถทำเช่นเดียวกันกับพอร์ตย้อนกลับที่มีอยู่

มีกลไกใดเช่น selinux หรือ apparmor ที่สามารถบรรลุสิ่งนี้ได้หรือไม่?

[แก้ไข] ขอชี้แจงว่าสถานการณ์นี้เป็น cntlm ในเครื่องที่มีผู้ใช้หลายคน ผู้ใช้แต่ละรายใช้ cntlm เพื่อตรวจสอบสิทธิ์กับพร็อกซีด้วยข้อมูลรับรองของตนเองไปยังพอร์ตเฉพาะบนอินเทอร์เฟซย้อนกลับ ฉันกำลังพยายามหาวิธีแยกสิ่งนี้เพื่อให้ผู้ใช้ไม่สามารถเชื่อมต่อโดยใช้การเชื่อมต่อพร็อกซีซึ่งกันและกัน

หากการวนกลับหมายถึงการเชื่อมต่อเครือข่ายเฉพาะกับ localhost ให้พิจารณา ซ็อกเก็ต AF_UNIX. ซ็อกเก็ตโดเมน AKA UNIX AKA วิธีที่ไม่ใช่ IP คุณสามารถเชื่อมต่อกับฐานข้อมูล PostgreSQL หรือ MySQL

บน Linux สิ่งนี้มีข้อได้เปรียบในการเคารพสิทธิ์ของไฟล์ หากไม่มีการเขียนไปยังซ็อกเก็ตในฐานะผู้ใช้ มันจะไม่ทำงาน อาจเป็นไปได้ว่าพฤติกรรมนี้ไม่ได้มาตรฐาน

เครือข่าย IP ไม่มี ID ผู้ใช้ระบบปฏิบัติการของผู้ที่สร้างแพ็กเก็ต บางทีในกฎไฟร์วอลล์ nftables คุณสามารถกรอง uid ได้ แต่เฉพาะในไฟร์วอลล์โฮสต์เท่านั้นสำหรับซ็อกเก็ตในเครื่อง ดีกว่าจะเป็นโปรโตคอลการตรวจสอบความถูกต้อง

Iptables ทำในสิ่งที่ฉันต้องการจะทำ นี่คือตัวอย่าง iptables ที่ฉันทดสอบและใช้งานได้ ฉันแค่ต้องเขียน wrapper เพื่อประกบคำสั่ง cntlm ในคำสั่ง iptables ฉันสามารถเรียกมันว่า lunch.sh

# เพื่อจองพอร์ต 7777 ให้กับผู้ใช้ "foo"
iptables -I เอาต์พุต -o lo -p tcp --dport 7777 -j DROP
iptables -I OUTPUT -o lo -p tcp --dport 7777 --match-owner --uid-owner foo -j ยอมรับ

#ปลดพอร์ต 
iptables -D เอาต์พุต -o lo -p tcp --dport 7777 -j DROP
iptables -D OUTPUT -o lo -p tcp --dport 7777 --match-owner --uid-owner foo -j ยอมรับ