除了本地用户的使用/滥用之外,在设置隧道时还应考虑远程用户。在 OUTPUT 链中创建 iptables 规则可以限制本地用户对 Stunnel 监听器的访问,但不能限制远程访问。
为了防止其他系统上的用户连接到您的本地 Stunnel 监听器,请务必同时配置 INPUT 链。您无法在此链中基于用户或组 ID 匹配数据包(无法可靠地识别远程系统上的哪个用户发起了 TCP 连接——ident不是很安全),但您可以基于源 IP 匹配数据包,例如:! -s localhost -j DROP.