Как штатными средствами ограничить программе выход в сеть?
Правила форума
Как правильно задавать вопросы Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа. Общая рекомендация по составлению тем: 1. Для начала воспользуйтесь поиском форума. 2. Укажите версию ОС вместе с разрядностью. Пример: LM 19.3 x64, LM Sarah x32 3. DE. Если вопрос касается двух, то через запятую. (xfce, KDE, cinnamon, mate) 4. Какое железо. (достаточно вывод
Как правильно задавать вопросы Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа. Общая рекомендация по составлению тем: 1. Для начала воспользуйтесь поиском форума. 2. Укажите версию ОС вместе с разрядностью. Пример: LM 19.3 x64, LM Sarah x32 3. DE. Если вопрос касается двух, то через запятую. (xfce, KDE, cinnamon, mate) 4. Какое железо. (достаточно вывод
inxi -Fxz в спойлере (как пользоваться спойлером смотрим здесь)) или же дать ссылку на hw-probe 5. Суть. Желательно с выводом консоли, логами. 6. Скрин. Просьба указывать 2, 3 и 4 независимо от того, имеет ли это отношение к вопросу или нет. Так же не забываем об общих правилах Как пример вот
-
Белый Кролик
Автор темы - Сообщения: 642
- Зарегистрирован: 24 май 2018, 11:35
- Решено: 10
- Благодарил (а): 354 раза
- Поблагодарили: 180 раз
Как штатными средствами ограничить программе выход в сеть?
Вопрос новичка, так что не бейте сильно. Как штатными средствами ограничить какой-нибудь программе выход в сеть?
Решение
Перейти к ответу ➙
У iptables есть возможность маркировать пакеты по признаку. Одним из таких признаков может быть исполняемый файл процесса который этот пакет породил. А маркированные пакеты можно по этому маркеру фильтровать и поступать как угодно - accept, drop, reject, forward и т.д....
UPD: слегка наврал. Это не штатная возможность а какое-то расширение. Штатно есть возможность маркировки по PID работающего процесса, что не совсем удобно. Либо по UID или GID (т.е. пользователю или основной группе программы) - что несколько удобнее но программу надо запускать от имени отдельного пользователя или задавать ей отдельную группу (IMHO - группа удобнее).
UPD: слегка наврал. Это не штатная возможность а какое-то расширение. Штатно есть возможность маркировки по PID работающего процесса, что не совсем удобно. Либо по UID или GID (т.е. пользователю или основной группе программы) - что несколько удобнее но программу надо запускать от имени отдельного пользователя или задавать ей отдельную группу (IMHO - группа удобнее).
Перейти к ответу ➙
-
slant
- Сообщения: 4859
- Зарегистрирован: 21 июн 2017, 15:09
- Решено: 111
- Благодарил (а): 54 раза
- Поблагодарили: 2178 раз
Как штатными средствами ограничить программе выход в сеть?
У iptables есть возможность маркировать пакеты по признаку. Одним из таких признаков может быть исполняемый файл процесса который этот пакет породил. А маркированные пакеты можно по этому маркеру фильтровать и поступать как угодно - accept, drop, reject, forward и т.д....
UPD: слегка наврал. Это не штатная возможность а какое-то расширение. Штатно есть возможность маркировки по PID работающего процесса, что не совсем удобно. Либо по UID или GID (т.е. пользователю или основной группе программы) - что несколько удобнее но программу надо запускать от имени отдельного пользователя или задавать ей отдельную группу (IMHO - группа удобнее).
UPD: слегка наврал. Это не штатная возможность а какое-то расширение. Штатно есть возможность маркировки по PID работающего процесса, что не совсем удобно. Либо по UID или GID (т.е. пользователю или основной группе программы) - что несколько удобнее но программу надо запускать от имени отдельного пользователя или задавать ей отдельную группу (IMHO - группа удобнее).
-
Белый Кролик
Автор темы - Сообщения: 642
- Зарегистрирован: 24 май 2018, 11:35
- Решено: 10
- Благодарил (а): 354 раза
- Поблагодарили: 180 раз
Как штатными средствами ограничить программе выход в сеть?
slant, создаю юзера/группу, запускаемой программе меняю права запуска на созданных юзера/группу, потом пишу правило для iptables чтобы фильтровал пакеты созданных юзера/группы. Все правильно понял?
-
slant
- Сообщения: 4859
- Зарегистрирован: 21 июн 2017, 15:09
- Решено: 111
- Благодарил (а): 54 раза
- Поблагодарили: 2178 раз
Как штатными средствами ограничить программе выход в сеть?
Угу. Только правил там два будет - одно для маркировки пакета, второе для действия на основе маркировки. Т.к. в разные таблицы эти действия нужны.
-
WWolf
- Сообщения: 4186
- Зарегистрирован: 13 фев 2018, 21:51
- Решено: 36
- Откуда: Краснодар
- Благодарил (а): 1735 раз
- Поблагодарили: 1275 раз
Как штатными средствами ограничить программе выход в сеть?
Белый Кролик, а чем встроенный межсетевой экран не устроил? меню - параметры - настройки межсетевого экрана
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
Белый Кролик
Автор темы - Сообщения: 642
- Зарегистрирован: 24 май 2018, 11:35
- Решено: 10
- Благодарил (а): 354 раза
- Поблагодарили: 180 раз
Как штатными средствами ограничить программе выход в сеть?
WWolf, так iptables и есть встроенный межсетевой экран, и gufw/ufw нет в ни в fedora ни в suse. 
-
WWolf
- Сообщения: 4186
- Зарегистрирован: 13 фев 2018, 21:51
- Решено: 36
- Откуда: Краснодар
- Благодарил (а): 1735 раз
- Поблагодарили: 1275 раз
Как штатными средствами ограничить программе выход в сеть?
Белый Кролик, ну мой шар на первом посте показал что ты в минте сидишь а тут это штатное средство
а тут это штатное средство 