RSSリーダーとかブックマークサービスとかアクセス統計サービスとかを作っていると、クローラの運用は必須。クローラは保護したいから、当然DMZに設置する。でもクローラがDMZ内にある他のホストにアクセスできちゃうとまずいわけで。 で、クローラからのアクセス先を制限する方法として、自分はいままで、squid なのでプロキシを立てて、クローラは必ずプロキシを使うように設定し、かつ、プロキシの設定で DMZ 内へのアクセスを弾くようにしていた。でも DNS Pinning 系の攻撃とかも考えて設定するのは面倒なわけで。 もっと楽な方法がないのかなと irc で聞いたら、id:hirose31 さんが iptables の owner モジュールでできるよ、と教えてくれた。ありがとうございます。 たとえばクローラを uid:crawler で動かすなら、 # sbin/iptables -A OUT