iptables настройка

[ptich1]

Здравствуйте,как настроить iptables чтобы был только исходящий трафик для браузера firefox , а все остальное запрещено?что нужно добавить после этих строк?iptables -P INPUT DROP,iptables -P FORWARD DROP,iptables -P OUTPUT DROP

[Bizdelnick]

С привязкой именно к firefox — никак. Можно фильтровать по пользователю, например.

[serzh-z]

Что-нибудь типа этого:

Shell

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT 1 -m owner --pid-owner $(pidof firefox) -j ACCEPT

Второре правило нужно обновлять после каждого перезапуска FF. Для всяких контейнеров плагинов нужно собственное дополнительное правило.

Или так (при условии, что пользователь называется firefox):

Shell

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner firefox -j ACCEPT
sudo -u firefox firefox

[Hephaestus]

У меня сделано примерно так, как показал serzh-z во втором варианте.
На самом деле, у меня основные пользователи в сеть не ходят вообще.
Все сетевые инструменты браузер, wget, всякие там youtube-dl запускаются от отдельного пользователя, который не имеет доступа никуда, кроме собственного $HOME и /tmp, и вообще не имеет права логина.
Подобным образом, но от другого специального пользователя запускается торрент-клиент.
Настаивал я всё это хозяйство когда-то давно, с тех пор так и осталось.

Из недостатков (или неудобств) такой схемы, могу отметить следующее.
Поскольку спец. пользователь не имеет доступа никуда, кроме двух каталогов, то файлы, скачанные браузером, могут ложиться только в эти два каталога. Понятно, что в данном случае в /tmp их находить проще, чем в профиле спец. пользователя. Недостаток заключается в том, что эти файлы принадлежат этому самому спец. пользователю. И порой бывает нужно менять им владельца.
Какого-то приемлемого варианта я для себя так и не выбрал.