Как правило, демоны в дебиане имеют своего пользователя, но можно и самому толкать нужный софт от созданного для него пользователя, а дальше -uid-owner
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -m owner --uid-owner proguser -j DROP
или
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -m owner --uid-owner 7878 -j DROP
Интересуюсь. Это очень недурная вещь особенно если проги не только из стандартных хранилищ но и из других источников. К томуже интересно было бы посмотреть как это реализуется под Линуксом.
Да, об этом я думал, но это не очень удобно, а если не демоны а к примеру тотже Firefox заблокировать (ну чисто теоретически), и хотелось бы к тому же систему оповещения об использовании таких ресурсов программами...
Нет и не будет. Как выход - виртуалка.
Нужно было запустить игрушку написанную под деб, но так как выпрыгивала в интернет по 80 порту, ничего лучше чем запускать ее из под виртуалки я не нашел.
Можно легко скостылить из разных пользователей, man iptables, rsyslog и десктопных уведомнений, но потребность в этом испытывают только немощные федоровантузятники, укравшие керио фиреволл и виндовс восемь ультимейт для мамкиного кампа.
Вообще если честно не очень понятны твои задачи использования фаервола, в федоре например есть неплохой гуевый обвес http://fedoraproject.org/wiki/SystemConfig/firewall к ядерному линуксовому фаерволу, там ЕМНИП можно рулить доступом программ в сеть. Самые удобные фаеры конечно же в BSD.
PS Debian располагает к ненужному красноглазию и увеличению мусорного объема знаний, которые тебе в жизни не пригодятся, если ты не «айтишник», но думается у «айтишника» таких вопросов бы не возникало.
нет вы действительно такие тупые или троллите :) можеш есть свой покорн прямо сейчас, это последний пост который написан в ответ не по теме. А пока в теме только два вменяемых человека. (со мной 3.)
Меня просто заинтересовал вопрос как можно под ОС Linux создать файервол который бы оповещал о каждом процессе который пользуется сетевыми ресурсами. И спрос на него меня не интересует продавать я его не собираюсь.
Указанный пользователем процесс. В данном случае процесс который использует сетевые ресурсы, а не все процессы выполняемые из под этого «пользователя».
Меня просто заинтересовал вопрос как можно под ОС Linux создать файервол который бы оповещал о каждом процессе который пользуется сетевыми ресурсами
дык с какой целью? Что-то хочешь запретить, да? Какой-то мутный скрипт/блоб, который что-то не то не туда сольёт? Дык я тебе в тему дал рецепт: создаёшь юзера, и запускаешь прогу от его имени. И ничего никуда эта прога не сольёт. Также можешь и права на файлы подрезать, дабы rm -rf /* вызвало-бы удаление исключительно самого блоба.
В данном случае процесс который использует сетевые ресурсы, а не все процессы выполняемые из под этого «пользователя».
ох... СПЕЦИАЛЬНОГО пользователя надо сделать. Что-бы ТОЛЬКО он мог запускать данную программу и ВСЕ её файлы юзать.
Ну к примеру СУБД у меня работает от имени mysql, юзая каталог /var/lib/mysql. При желании можно ей отрубить весь интернет, или не весь, а только на все IP кроме 1.2.3.4 и по портам с 12345 до 23777.
Еще бы, ведь сейчас для Линаксов актуален ebtables + firefalld, все остальное треш угар и маргинальщина. Но если вы любитель несвеженького(дебьян), то еще лет 10 можете iptables юзать.
не. Вот смотри: сделал ты костыль, который ищет pid wine, и его запрещает. А юзер не будь дураком, скопировал wine в свой каталог, и теперь это ~/eniw. И твой фаервол его в упор не видит. Вот только не говори мне про mount -o noexec, сам должен понимать, если не идиот.
Потому метка файла «имя» — ненадёжна. А метка «pid» тупо не нужна, ибо её иначе как по «имени» не детектировать.