我一直在阅读,但似乎无法找到一种方法来创建每个进程的防火墙规则。我知道,iptables --uid-owner但这仅适用于传出流量。我已经考虑过编写脚本netstat,iptables但这似乎非常低效,因为如果一个进程只在很短的时间内处于活动状态,脚本可能会错过它。基本上,我想对进程强制执行有关端口和 dst 的特定限制,同时不影响其他进程。有任何想法吗?
作为参考,selinux 可以做到这一点,而且效果很好。不过设置有点麻烦。
在我的 iptables 脚本中,我一直在尝试编写尽可能细粒度的规则。我限制哪些用户可以使用哪些服务,部分是为了安全,部分是作为学习练习。
在运行 3.6.2 内核的 Debian 6.0.6 上使用 iptables v1.4.16.2。
但是我遇到了一个我还不太明白的问题......
这工作得很好。我没有任何通用的状态跟踪规则。
## 传出端口 81 $IPTABLES -A 输出 -p tcp --dport 81 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -p tcp --sport 81 -s $MYIP -m conntrack --ctstate ESTABLISHED -j ACCEPT
## 用户帐户的传出端口 80 $IPTABLES -A OUTPUT --match owner --uid-owner useraccount -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED --sport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -p tcp --sport 80 --dport 1024:65535 -d $MYIP -m …
我认为没有 iptables/pf 解决方案只允许 XY 应用程序,例如:出站 tcp 端口 80、eth0。因此,如果我有一个用户 ID:“500”,那么我怎么能阻止任何其他通信,然后是在端口 80/outbound/tcp/eth0 上提到的?(例如:只是 privoxy 在 eth0 上使用端口 80)
额外:virtualbox 也使用端口 80?当来宾操作系统上的浏览器访问站点时..如何声明?- 设置普通用户会太坑
用 Proxifier 玩得很开心,我只是想知道这种软件在 Unix/Linux 下是否可行?
启动这样的项目容易吗,或者是否有现有的项目可用?它们是否几乎与 Proxifier 一样好(捕获所有 TCP/IP 包并通过代理转发它们)?
我想启动一个与网络断开连接的程序(因为它在启动后立即尝试下载大量数据,这可以通过在稳定下来后立即更改设置来防止)。但是,我真的不想为这个程序实际关闭网络。
是否有一些 LD_PRELOAD 或类似的东西给程序一个网络关闭的印象?我宁愿不创建虚拟机。
我必须强化 Linux 桌面作为我大学的一项任务。但是我遇到了一个特定的问题:我必须使用 iptables 控制传出流量。
应该可以阻止特定应用程序(如 LibreOffice)访问互联网。我的教授说“寻找‘匹配’选项”。但我不知道该怎么做。我想设置一个规则,用该-m owner --owner-gid选项丢弃特定组 ID 的所有数据包。但是如何配置我的应用程序以在该特定组下运行?或者这只是错误的做法?
操作系统是 Debian 7。
我尝试在启动时运行一个脚本 (tpfand),它要求以 root 身份执行它。
这是一个控制 Thinkpad 计算机风扇的脚本。
尽管多次尝试,我还是无法得到......
我想知道如何使用 Iptable 过滤特定进程的数据包。我阅读了文档,但我仍然困惑如何使用--pid-owner processid选项。