Iptables для ньюфага(запретить выход конкретному приложению)

0

1

Привет, делал по инструкции

https://serverfault.com/questions/550276/how-to-block-internet-access-to-certain-programs-on-linux

Create, validate new group; add required users to this group:

Create: groupadd no-internet

Validate: grep no-internet /etc/group

Add user: useradd -g no-internet username

Note: If you’re modifying already existing user you should run: usermod -a -G no-internet userName check with : sudo groups userName

Create a script in your path and make it executable:

Create: nano /home/username/.local/bin/no-internet

Executable: chmod 755 /home/username/.local/bin/no-internet

Content: #!/bin/bash sg no-internet «$@»

Add iptables rule for dropping network activity for group no-internet:

iptables -I OUTPUT 1 -m owner –gid-owner no-internet -j DROP

Note: Don’t forget to make the changes permanent, so it would be applied automatically after reboot. Doing it, depends on your Linux distribution.

Check it, for example on Firefox by running:

no-internet «firefox»

После того как ввожу no-internet «firefox» или sudo no-internet «firefox» получаю bash/sudo соответственно no-internet: command not found Что я делаю не так?

Ссылка

←	Opera open source?

Заголовки глав и параграфов в TeX

→

Что я делаю не так?

за 4 года не освоил разметку форума;
не добавил /home/username/.local/bin/ в PATH.

vvn_black ★★★★★
(11.05.20 14:10:26 MSK)

А если /home/username/.local/bin/no-internet firefox?

zloelamo ★★★★
(11.05.20 17:18:59 MSK)

Ссылка

Можно проще без iptables, с использованием пространств имен: unshare -nUc firefox

deadNightTiger ★★★★★
(13.05.20 13:24:22 MSK)

Ссылка

Ответ на: комментарий от vvn_black 11.05.20 14:10:26 MSK

не добавил /home/username/.local/bin/ в PATH

В Ubuntu .local/bin есть в PATH, в других дистрибутивах надо добавлять. Для этого в ~/.profile добавить (все приходится подсматривать у убунты):

PATH="$HOME/bin:$HOME/.local/bin:$PATH"

Или просто держать свои бинарники в ~/bin, что предлагают другие дистры, но этот каталог может резать глаза.

xomon47
(13.05.20 13:36:32 MSK)

Ссылка

Можно проще. Установить firejail

firejail --net=none vlc

Но там проблема, вроде как пульсу надо особым образом пробрасывать, чтобы звук был.

xomon47
(13.05.20 13:40:45 MSK)

Ссылка

Don’t forget to make the changes permanent, so it would be applied automatically after reboot. Doing it, depends on your Linux distribution

Вот как это делается в Ubuntu 16.04, если что (на примере добавления IP 1.2.3.4 в запрещенные, но в твоем случае правило выше)

sudo apt install iptables-persistent netfilter-persistent
sudo iptables -A OUTPUT -s 1.2.3.4 -j DROP (добавить правило на время сеанса)
sudo iptables -D OUTPUT -s 1.2.3.4 -j DROP (удалить правило из сеанса)
sudo iptables -L OUTPUT -v -n (посмотреть правила)
sudo nano /etc/iptables/rules.v4 (посмотреть правила)
sudo netfilter-persistent save (сохранить настройки постоянно)
sudo netfilter-persistent reload (применить новые настройки сразу)

xomon47
(13.05.20 13:46:17 MSK)

Ответ на: комментарий от xomon47 13.05.20 13:46:17 MSK

Окей, я добавил Path, добавил firefox в no internet, пока все равно есть доступ в сеть. Как можно проверить кто есть в no internet и как убрать тех кто есть? У меня debian если что.

newphonebass
(24.05.20 16:11:29 MSK) автор топика
Последнее исправление: newphonebass 24.05.20 16:12:30 MSK (всего исправлений: 1)

sudo no-internet

Кажется, нужно sudo -g no-internet …

~~ShiningRiver~~ ★
(24.05.20 17:17:54 MSK)

Ссылка

Ответ на: комментарий от newphonebass 24.05.20 16:11:29 MSK

добавил firefox в no internet

Это как?

Запускаете firefox и смотрите GID (идентификатор группы) у этого процесс в списке процессов. Сами нагуглите как посмотреть список процессов и как посмотреть GID процесса.

Дальше проверяете, что у вас есть нужно запрещающее правило в iptables, а то может и какой firewalld переписывает. И если всё так, но firefox что-то качает, а у правила счётчик 0, то значит --gid-owner не работает.

mky ★★★★★
(26.05.20 00:27:50 MSK)

Ссылка

Iptables

не нужно, есть nftables

anonymous
(26.05.20 07:59:10 MSK)

Ссылка

Ответ на: комментарий от xomon47 13.05.20 13:46:17 MSK

Как все сложно. За что все так не любят SELinux? Прямо в базовом репозитории rhel есть соответствующие политики в готовом виде. Без настроек файрволла и создания новых пользователей.

i586 ★★★★★
(27.05.20 02:13:27 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Opera open source?

Desktop

Заголовки глав и параграфов в TeX

→

Похожие темы