Всем привет! Друзья, столкнулся с проблемой. Суть: нужно запретить все на вход и на выход, а разрешить только для определенного приложения (пусть, будет браузер). При попытке запустить такой скрипт:

#!/bin/sh

iptables -F

iptables -X

ip6tables -F

ip6tables -X

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

ip6tables -P INPUT DROP

ip6tables -P OUTPUT DROP

ip6tables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

PID=`ps aux |grep chromium |head -n 1 |cut -c 10-14`

iptables -A OUTPUT -m owner --pid-owner $PID -j ACCEPT

echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

выдается такая ошибка: iptables v1.4.21: unknown option "--pid-owner" Полазив в манах, я не нашел ответа на то, каким образом можно работать с конкретными процессами. В общем, подскажите, как мне решить мою задачу? Спасибо

Привет, друзья!

Пытаюсь, но безуспешно, закрыть доступ к локалхосту из инета. Вот мои правила:

iptables -F

iptables -X

ifconfig eno1 down

ifconfig eno1 hw ether dd:aa:44:55:77:88

ifconfig eno1 up

iptables -F

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -i lo ! -s 127.0.0.1 -j DROP # Блокируем, если источник - не локалка

iptables -A OUTPUT -o lo ! -d 127.0.0.1 -j DROP # Блокируем, если адрес - не локалка

iptables -A INPUT -s 10.0.0.0/8 -j DROP

iptables -A OUTPUT -o eno1 -j ACCEPT

iptables -A OUTPUT -d 10.0.0.0/8 -j DROP

iptables -A INPUT -i eno1 -m state --state ESTABLISHED,RELATED -j ACCEPT

По идее, при запущенном Апаче, если я введу в адресной строке браузера мой айпи, я не должен получить доступ к серверу. Но выходит наоборот - я вижу главную страничку Апача. Что не так делаю?

Спасибо