LinuxMint.com.ru

Вопрос новичка, так что не бейте сильно. Как штатными средствами ограничить какой-нибудь программе выход в сеть?

У iptables есть возможность маркировать пакеты по признаку. Одним из таких признаков может быть исполняемый файл процесса который этот пакет породил. А маркированные пакеты можно по этому маркеру фильтровать и поступать как угодно - accept, drop, reject, forward и т.д....

UPD: слегка наврал. Это не штатная возможность а какое-то расширение. Штатно есть возможность маркировки по PID работающего процесса, что не совсем удобно. Либо по UID или GID (т.е. пользователю или основной группе программы) - что несколько удобнее но программу надо запускать от имени отдельного пользователя или задавать ей отдельную группу (IMHO - группа удобнее).

slant, создаю юзера/группу, запускаемой программе меняю права запуска на созданных юзера/группу, потом пишу правило для iptables чтобы фильтровал пакеты созданных юзера/группы. Все правильно понял?

Угу. Только правил там два будет - одно для маркировки пакета, второе для действия на основе маркировки. Т.к. в разные таблицы эти действия нужны.

Белый Кролик, а чем встроенный межсетевой экран не устроил? меню - параметры - настройки межсетевого экрана

WWolf, так iptables и есть встроенный межсетевой экран, и gufw/ufw нет в ни в fedora ни в suse.

Белый Кролик, ну мой шар на первом посте показал что ты в минте сидишь а тут это штатное средство