Как штатными средствами ограничить программе выход в сеть?
Как правильно задавать вопросы Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа. Общая рекомендация по составлению тем: 1. Для начала воспользуйтесь поиском форума. 2. Укажите версию ОС вместе с разрядностью. Пример: LM 19.3 x64, LM Sarah x32 3. DE. Если вопрос касается двух, то через запятую. (xfce, KDE, cinnamon, mate) 4. Какое железо. (достаточно вывод
inxi -Fxz в спойлере (как пользоваться спойлером смотрим здесь)) или же дать ссылку на hw-probe 5. Суть. Желательно с выводом консоли, логами. 6. Скрин. Просьба указывать 2, 3 и 4 независимо от того, имеет ли это отношение к вопросу или нет. Так же не забываем об общих правилах Как пример вот
-
Белый Кролик
Автор темы - Сообщения: 642
- Зарегистрирован: 24 май 2018, 14:35
- Решено: 10
- Благодарил (а): 354 раза
- Поблагодарили: 180 раз
- Контактная информация:
Как штатными средствами ограничить программе выход в сеть?
Вопрос новичка, так что не бейте сильно. Как штатными средствами ограничить какой-нибудь программе выход в сеть?
Решение
Перейти к ответу ➙
У iptables есть возможность маркировать пакеты по признаку. Одним из таких признаков может быть исполняемый файл процесса который этот пакет породил. А маркированные пакеты можно по этому маркеру фильтровать и поступать как угодно - accept, drop, reject, forward и т.д....
UPD: слегка наврал. Это не штатная возможность а какое-то расширение. Штатно есть возможность маркировки по PID работающего процесса, что не совсем удобно. Либо по UID или GID (т.е. пользователю или основной группе программы) - что несколько удобнее но программу надо запускать от имени отдельного пользователя или задавать ей отдельную группу (IMHO - группа удобнее).
UPD: слегка наврал. Это не штатная возможность а какое-то расширение. Штатно есть возможность маркировки по PID работающего процесса, что не совсем удобно. Либо по UID или GID (т.е. пользователю или основной группе программы) - что несколько удобнее но программу надо запускать от имени отдельного пользователя или задавать ей отдельную группу (IMHO - группа удобнее).
Перейти к ответу ➙
-
slant
- Сообщения: 4532
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 100
- Благодарил (а): 51 раз
- Поблагодарили: 2003 раза
- Контактная информация:
Как штатными средствами ограничить программе выход в сеть?
У iptables есть возможность маркировать пакеты по признаку. Одним из таких признаков может быть исполняемый файл процесса который этот пакет породил. А маркированные пакеты можно по этому маркеру фильтровать и поступать как угодно - accept, drop, reject, forward и т.д....
UPD: слегка наврал. Это не штатная возможность а какое-то расширение. Штатно есть возможность маркировки по PID работающего процесса, что не совсем удобно. Либо по UID или GID (т.е. пользователю или основной группе программы) - что несколько удобнее но программу надо запускать от имени отдельного пользователя или задавать ей отдельную группу (IMHO - группа удобнее).
UPD: слегка наврал. Это не штатная возможность а какое-то расширение. Штатно есть возможность маркировки по PID работающего процесса, что не совсем удобно. Либо по UID или GID (т.е. пользователю или основной группе программы) - что несколько удобнее но программу надо запускать от имени отдельного пользователя или задавать ей отдельную группу (IMHO - группа удобнее).
-
Белый Кролик
Автор темы - Сообщения: 642
- Зарегистрирован: 24 май 2018, 14:35
- Решено: 10
- Благодарил (а): 354 раза
- Поблагодарили: 180 раз
- Контактная информация:
Как штатными средствами ограничить программе выход в сеть?
slant, создаю юзера/группу, запускаемой программе меняю права запуска на созданных юзера/группу, потом пишу правило для iptables чтобы фильтровал пакеты созданных юзера/группы. Все правильно понял?
-
slant
- Сообщения: 4532
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 100
- Благодарил (а): 51 раз
- Поблагодарили: 2003 раза
- Контактная информация:
Как штатными средствами ограничить программе выход в сеть?
Угу. Только правил там два будет - одно для маркировки пакета, второе для действия на основе маркировки. Т.к. в разные таблицы эти действия нужны.
-
WWolf
- Сообщения: 3914
- Зарегистрирован: 14 фев 2018, 00:51
- Решено: 32
- Откуда: Краснодар
- Благодарил (а): 1689 раз
- Поблагодарили: 1215 раз
- Контактная информация:
Как штатными средствами ограничить программе выход в сеть?
Белый Кролик, а чем встроенный межсетевой экран не устроил? меню - параметры - настройки межсетевого экрана
-
Белый Кролик
Автор темы - Сообщения: 642
- Зарегистрирован: 24 май 2018, 14:35
- Решено: 10
- Благодарил (а): 354 раза
- Поблагодарили: 180 раз
- Контактная информация:
Как штатными средствами ограничить программе выход в сеть?
WWolf, так iptables и есть встроенный межсетевой экран, и gufw/ufw нет в ни в fedora ни в suse. 
-
WWolf
- Сообщения: 3914
- Зарегистрирован: 14 фев 2018, 00:51
- Решено: 32
- Откуда: Краснодар
- Благодарил (а): 1689 раз
- Поблагодарили: 1215 раз
- Контактная информация:
Как штатными средствами ограничить программе выход в сеть?
Белый Кролик, ну мой шар на первом посте показал что ты в минте сидишь а тут это штатное средство
а тут это штатное средство -
Белый Кролик
Автор темы - Сообщения: 642
- Зарегистрирован: 24 май 2018, 14:35
- Решено: 10
- Благодарил (а): 354 раза
- Поблагодарили: 180 раз
- Контактная информация:
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей