Das owner Modul

Das Owner-Modul bietet die Möglichkeit, Regeln für lokal generierte Pakete auf matches mit Unix GID, UID, SID, PID zu generieren. Dadurch hat man zum Beispiel die Möglichkeit, einzelnen User oder Usergruppen den Zugang zum Netz teilweise zu sperren oder ganz zu verwehren. Auch der vom User verursachte Netzwerkverkehr ist so zählbar.
Dabei arbeitet dieses Modul nicht auf den Paketdaten selbst, sondern auf den Metadaten des Pakets. In diesem Fall skb->sk->socket->file. Die file Struktur enthält alle benötigten Informationen über Benutzer und Prozess, die zu diesem Socket gehört.

Dieser match funktioniert nur in der OUTPUT chain, da im IP Layer nur lokal generierte ausgehende Pakete einen Socket zugeordnet haben. Durch eine Modifikation des Moduls ist es möglich, auch eingehende Pakete einem Socket zuzuordnen. Diese Zuordnung passiert normalerweise erst in der nächsthöheren Netzwerkschicht (z.B. bei TCP __tcp_v4_lookup()). Zieht man diese Operation vor, so hat man ebenfalls eine sk-Struktur zur Verfügung.