iptables настройка
Модератор: Bizdelnick
iptables настройка
Здравствуйте,как настроить iptables чтобы был только исходящий трафик для браузера firefox , а все остальное запрещено?что нужно добавить после этих строк?iptables -P INPUT DROP,iptables -P FORWARD DROP,iptables -P OUTPUT DROP
- Bizdelnick
- Модератор
- Сообщения: 20797
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: iptables настройка
С привязкой именно к firefox — никак. Можно фильтровать по пользователю, например.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: iptables настройка
Что-нибудь типа этого:
Второре правило нужно обновлять после каждого перезапуска FF. Для всяких контейнеров плагинов нужно собственное дополнительное правило.
Или так (при условии, что пользователь называется firefox):
Shell
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT 1 -m owner --pid-owner $(pidof firefox) -j ACCEPT
Или так (при условии, что пользователь называется firefox):
Shell
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner firefox -j ACCEPT
sudo -u firefox firefox
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: iptables настройка
У меня сделано примерно так, как показал serzh-z во втором варианте.
На самом деле, у меня основные пользователи в сеть не ходят вообще.
Все сетевые инструменты браузер, wget, всякие там youtube-dl запускаются от отдельного пользователя, который не имеет доступа никуда, кроме собственного $HOME и /tmp, и вообще не имеет права логина.
Подобным образом, но от другого специального пользователя запускается торрент-клиент.
Настаивал я всё это хозяйство когда-то давно, с тех пор так и осталось.
Из недостатков (или неудобств) такой схемы, могу отметить следующее.
Поскольку спец. пользователь не имеет доступа никуда, кроме двух каталогов, то файлы, скачанные браузером, могут ложиться только в эти два каталога. Понятно, что в данном случае в /tmp их находить проще, чем в профиле спец. пользователя. Недостаток заключается в том, что эти файлы принадлежат этому самому спец. пользователю. И порой бывает нужно менять им владельца.
Какого-то приемлемого варианта я для себя так и не выбрал.
На самом деле, у меня основные пользователи в сеть не ходят вообще.
Все сетевые инструменты браузер, wget, всякие там youtube-dl запускаются от отдельного пользователя, который не имеет доступа никуда, кроме собственного $HOME и /tmp, и вообще не имеет права логина.
Подобным образом, но от другого специального пользователя запускается торрент-клиент.
Настаивал я всё это хозяйство когда-то давно, с тех пор так и осталось.
Из недостатков (или неудобств) такой схемы, могу отметить следующее.
Поскольку спец. пользователь не имеет доступа никуда, кроме двух каталогов, то файлы, скачанные браузером, могут ложиться только в эти два каталога. Понятно, что в данном случае в /tmp их находить проще, чем в профиле спец. пользователя. Недостаток заключается в том, что эти файлы принадлежат этому самому спец. пользователю. И порой бывает нужно менять им владельца.
Какого-то приемлемого варианта я для себя так и не выбрал.