Ограничение сети для отдельной программы

0

1

Мне нужно:
1 - Разрешить браузеру соединятся с локальным прокси 192.168.100.20 на порту 8888.
2 - Запретить создание соединений куда либо ещё.

Вариант с отдельным пользователем кажется мне в данном случае жутким костылем, т.к браузер это не демон которому работать в беграунде.
Хотелось бы узнать мнение лоровцев на тему того, как более Ъ лимитировать доступ браузера к сети.
На просторах сети было найдено только упоминание о расширении «owner» для iptables, которого в текущих версиях ядра уже нет.

Ссылка

←	Переход на Unix

Запуск двух копий приложения

→

1 - Разрешить браузеру соединятся с локальным прокси 192.168.100.20 на порту 8888.
2 - Запретить создание соединений куда либо ещё.

В selinux должна быть такая функциональность.

Igron ★★★★★
(05.01.12 05:14:31 MSK)

На просторах сети было найдено только упоминание о расширении «owner» для iptables, которого в текущих версиях ядра уже нет.

это как нет?

~~xtraeft~~ ★★☆☆
(05.01.12 05:38:49 MSK)

Ответ на: комментарий от xtraeft 05.01.12 05:38:49 MSK

Уточняю, нужной мне опции "--pid-owner" нет:
Ранее она позволяла залимитировать трафик конкретного приложения.

winddos ★★★
(05.01.12 05:56:38 MSK) автор топика

Ссылка

Ответ на: комментарий от Igron 05.01.12 05:14:31 MSK

А стоит ли совмещать SELinux c AppArmor?

winddos ★★★
(05.01.12 06:05:09 MSK) автор топика

Ссылка

упоминание о расширении «owner» для iptables, которого в текущих версиях ядра уже нет.

/lib/modules/3.1.6-1.fc16.x86_64/kernel/net/netfilter/xt_owner.ko

Вариант с отдельным пользователем

Заменяется на вариант с отдельной группой, firefox отдается в setgid это группе.

~~no-dashi~~ ★★★★★
(05.01.12 08:42:19 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Переход на Unix

General

Запуск двух копий приложения

→

Похожие темы