el
написал 23 января 2005 года в 00:43 (962 просмотра)
Ведет себя
неопределенно; открыл 5 тем в форуме, оставил 32 комментария на сайте.
Есть задача — нужно разрешить конкретному приложению обращение по каким-то ip-адресам, по другим запретить…ну вобщем типичная задача для фаервола (фильтровать трафик для процесса с конкретным именем )…Не могу найти инфу как это сделать…В iptables есть критерий по pid процесса, если я не ошибаюсь, но это могло бы работать в случае ,если приложение не перезапускается после запуска фаервола iptables , там ядро назначит другой pid, вобщем — это не работает…
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
идея проста: для выбранноой программы завести пользователя, с именем и правами которого она будет запускаться. после этого, читаем man iptables около описания расширения owner и строим правила.
Спасибо за совет, че-то я не подумал про пользователя…Не совсем удобно…(скорее, совсем неудобно…): ), но работает, однако тоже не во всех случаях, например, если программа должна работать под root …(тогда под действие этого правила попадут и другие процессы, которые не должны…).
Можно еще сделать критерий по используемым портам, однако тоже не всегда получается..
Вообще не совсем понятно почему разработчики iptables не сделали критерий по имени процесса…Хотя вообще-то интерфейс iptables аккуратно выражаясь…недружелюбен (имхо, конечно), но бывает и хуже…):
нууу… если вниииииииИИИмательнее почитать man iptables, как раз, как я и говорил, около расширения owner, можно найти --cmd-owner
ииээх…
решил тут над ping-ом немного поиздеваться.
работает..
мдя. icmp пакеты и port unreachable ответ… :D
а ведь хотель --reject-with icmp-host-unreachable добавить…
Да, время идет :( — я изучал iptables по русскому переводу статьи Oskar Andreasson (перевод Андрея Киселева ) , вроде не сильно старому, так там вот как раз этого критерия
--cmd-owner name не было…это похоже новая фича…А вот интересная выдержка из перевода -
Только вот непонятно, что имеется в виду под командой — это имя процесса или полная команда — которая выдается по ps -aux, или имя процесса — ну похоже что имя, раз твой код работает…