Сколько не искал, ответа на свой вопрос найти так и не смог. Хочется добиться параноидальной безопасности при использовании сети в линуксе. Используя политику в iptables 'все что явно не разрешено — запрешено' ставлю на все цепи по умолчанию DROP. Но тогда возникает проблема. Порты для входящего трафика сервисов вроде ssh или ftp открыть не проблема. А исходящего? А как определить на какой порт полезет браузер? Подумал. Поискал. Нашел модуль owner. Попробовать не удалось: --cmd-owner в последних ядрах ветки 2.6 нагло обрезали. Использование --*id-owner тк вышеупомянутый браузер запущен не постоянно, соответственно при установке правил на старте системы он id не имеетю.
з.ы. Просьба при отправлении на читку man bash указывать конкретную точку, а решений вроде 'юзай firestarter' не предлагать.
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ну, --gid-owner покрути. может что тебе даст использование именно этого параметра.
к примеру, все программы, которые имеют доступ в сеть, имеют set gid и группу inet. тогда сделать разрешение на выход — просто.
хуже — для транзитного трафика, на шлюзе, сгенерированного на другом компе, но это в данном случае не актуально ;)
а варианты без использования этого модуля возможны?
и как добавлять приложение в группу? А то я с таким никогда не сталкивался…
нуу… выключенный компьютер и не подключённый к сети — самы защищённый..
только работать на нём затруднительно, а? ;)
по написанному тобой — вроде других вариантов не особо и есть…
ну посмотри, к примеру, на pppd
правда, несколько не тот пример, так как у него выставлено set user id при исполнении и группа dip (или какая там)…
аналогично можно установить set group id при исполнении — man chmod.
(ну, это приблизительно)
и потом
если пользователь будет принадлежать группе inet — то он сможет пользоваться сетевыми ресурсами из firefox.
в общем, читай маны по упомянутым командам и спрашивай, что не понял.
bash-3.00# iptables -A OUTPUT -m owner --gid-owner inet -j ACCEPT
iptables: Invalid argument
Нечего не понимаю.
ты группу-то такую создать не забыл?
конечно не забыл! все сделал… а результат такой вот
обнови, наверное, ядро и iptables….
потому как у меня этот пример срабатывает «на ура»….
в ядре включил модуль owner для iptables? ;)
угу) включил конечно… странно…
версия iptables 1.3.3
версия ядра 2.6.15#6
оно, конечно, действительно — странно..
iptables — тоже 1.3.3
kernel, правда — 2.6.16.18 (.20 всё никак не соберусь собрать, да и то, не особо и надо….)
подгрузи ручками ipt_owner и попробуй снова.
может ты просто не включил ядерную автоподгрузку модулей… и потому может не работать.
возможно это пригодится:
протокол — порт
http — 80
https — 443
ftp — 21
pop — 110
smtp — 25
imap — 143
telnet — 23
ssh — 22
socks — 1080
ssl — 995
gmail на свой smtp пускает через — 587
порт для icq — 5190
Патчи принимаются.
;)
Ну да,вот только в Виндах такое не катит,писал по памяти 8-).
где-то в районе
C:\WINDOWS\system32\drivers\etc\services
Ты знал!
Чёрт,я ламер! 8-)
конечно, я знал.
там же и hosts находится файл.
в который можно прописывать локальные изменения для соответствия ip<->fqdn
Я пошуршал там по папке и тоже теперь знаю 8-)
Спасибо 8-)