我可以将用户（及其应用程序）限制为一个网络接口吗？

实际上，我有两种情况可以应用：

1. Multiseat Desktop：具有Internet网关的两个网络连接，以及两个帐户，每个帐户分别执行带宽密集型任务。我想将它们拆分为一个帐户仅使用eth0，第二个帐户仅使用eth1。

2. 服务器：我在服务器上有两个IP，我想确保邮件用户仅从第二个IP（eth0：1别名）发送电子邮件

第二个可能是IPTabled（我只是不知道如何）通过该接口路由电子邮件流量，但是第一个将处理各种流量，因此需要基于用户。如果有基于用户的解决方案，我可以在两个地方都应用。

您将要使用iptables owner模块，也许还需要一些巧妙的数据包处理方法。

owner该模块尝试匹配数据包创建者的各种特征，以用于本地生成的数据包。它仅在OUTPUT链中有效，即使那样，某些数据包（例如ICMP ping响应）也可能没有所有者，因此永远不会匹配。

--uid-owner userid如果数据包是由具有给定有效（数字）用户ID的进程创建的，则匹配。

--gid-owner groupid如果包是由具有给定有效（数字）组ID的进程创建的，则匹配。

--pid-owner processid如果包是由具有给定进程ID的进程创建的，则匹配。

--sid-owner sessionid如果包是由给定会话组中的进程创建的，则匹配。

您可以在物理机上设置两个虚拟机，并设置网络接口桥接，以便一个VM使用eth0，另一个VM使用eth1。请参阅有关桥接网络的虚拟盒文档部分。

我不确定第一点是否可行。您要根据用户的用户名进行一些路由操作。上次我检查时没有看到这种可能性。

第二点，不是您要使用的iptables，而是iproute2（完整的文档为http://lartc.org/howto/和http://www.policyrouting.org/iproute2.doc.html）。它被认为已过时，替代了ifconfig / route命令。iproute2允许yo根据其来源路由数据包。那就是你想要的