这个过程就是这样.

>使用取消共享创建网络命名空间
>使用ip link add type veth创建一个veth设备….
>使用ip link set vethX netns ${PIDOFUNSHARE}将veth的一端移动到此设备中
>在新命名空间中引发回送(如果尚未).
>在新命名空间和vethX设备中添加IP地址(如果尚未).
>将新网络命名空间中的默认路由设置为父命名空间中的IP.
>设置一个静态路由到您在子命名空间中添加的ip,以下移到父命名空间中的vethX.

现在,不受信任的用户当然拥有该IP的完全所有权,但您可以使用父命名空间中的IPtables对允许绑定的特定端口进行DNAT,并将通信限制为仅限该端口.
用户不可能有效地拒绝另一个端口上的服务给另一个用户,因为他具有仅在该用户命名空间内工作的特定IP.

注意,如果使用nslcd或nscd进行名称解析服务,则事情会更复杂,因为用于进程间通信的unix套接字在子命名空间中无效.我能够解决这个问题的唯一方法是修补这些程序以提供TCP传输,并通过TCP在父命名空间中执行名称解析服务.

我还在C中编写了一个程序,它使用netlink调用来设置上述所有内容.该程序是封闭源代码,所以不幸的是我无法与您分享.

为了记录,在Fedora中执行此操作更容易,因为您可以在其中创建命名的网络命名空间.但是EL6没有提供/ proc /< pid> / ns功能来执行此操作.