Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: Martin 'Želva' Malý 27 Března 2010, 20:22:27
-
Zdravím ve spolek,
potřeboval bych, aby se mi jeden program nemohl dostat na internet. Myslím, že vám nemusím psát, co je to za program a proč to potřebuji. Zkoušel jsem firewall klikátko GUFW, je tam sice kolonka "zakázat" → "program", ale na výběr je pouze Amule, Deluge, Nicotine, Transmission, Vuze. A to je mi asi k ničemu...
Nevíte prosím o nějakém způsobu, jak zablokovat 1 program/proces? Linux má vlastně zabudovaný firewall v jádře, takže to nějak musí jít, ale nevím, jak to nastavit.
Díky.
-
Obávám se, že pokud to chceš udělat tak, aby jeden program měl povolen port/protokol a jiný program ne, tak to nejde; (g)ufw to dělá tak, že zakáže kombinace port/protokol, které daný program používá.
man iptablesPříjemnou zábavu.
-
No,
alespoň v mém výstupu z man iptables není ani pid-owner ani (jinde citovaný) cmd-owner, který by údajně měl umět sežrat jméno programu. Takže že by nedokumentované funkce?
-
Pokud ještě tazatel ještě nezkoušel, nechť se podívá na http://ubuntuforums.org/showthread.php?t=1188099 . Nejen první příspěvek je užitečný.
-
Nějaké moduly by se určitě nechaly najít a zakompilovat, ale když tak procházím config jádra (lucid) tak jsem narazil na toto:
CONFIG_NETFILTER_XT_MATCH_OWNER: │
│ │
│ Socket owner matching allows you to match locally-generated packets │
│ based on who created the socket: the user or group. It is also │
│ possible to check whether a socket actually exists. │
│ │
│ Symbol: NETFILTER_XT_MATCH_OWNER [=m] │
│ Prompt: "owner" match support │
│ Defined at net/netfilter/Kconfig:729 │
│ Depends on: NET [=y] && INET [=y] && NETFILTER [=y] && NETFILTER_XTABLES [=m] && NETFILTER_ADVANCED [=y] │
│ Location: │
│ -> Networking support (NET [=y]) │
│ -> Networking options │
│ -> Network packet filtering framework (Netfilter) (NETFILTER [=y]) │
│ -> Core Netfilter Configuration │
│ -> Netfilter Xtables support (required for ip_tables) (NETFILTER_XTABLES [=m]) Bohužel v *buntu není defaultně konfigurace aktuálního jádra vidět v /proc/config.gz takže nevylučuji že tento modul nebude povolen, ale pokud to (owner) fungovalo před 4mi lety tak proč by nemělo dnes.
-
> EW
Díky za odkaz, zkouším to na LL a funguje perfektně. Není to určitě tak neprůstřelné jako AppArmor, ale je to mnohem jednodušší.
-
co TCP wrapers
-
Bohužel v *buntu není defaultně konfigurace aktuálního jádra vidět v /proc/config.gz...
Od čeho je /boot/config-`uname -r`?
-
4Yontalcar
už jsem minimálně jednou v Ubuntu narazil na to že /boot/config-`uname -r` neodpovídal běžícímu jádru (neupravované, distribuční).
Když přibyla možnost mít k dispozici config v /proc tak jsem zajásal že konečně bude k dispozici config odpovídající realitě.
-
Dík za odpovědi, asi trpím sklerózou, zapomněl jsem, že jsem to téma tady založil. :-)
Teďka odjíždím na Velikonice pryč, takže po nich si rád vyzkouším ty rady.
Mimochodem: nemám Ubuntu, ale Debian. Myslel jsem si, že je to jedno, ale možná, jak teď vidím, to asi úplně jedno nebude.
Mějte se a dík.
-
Tak ten návod na ubuntuforums.org mi funguje, díky moc hoši, možná bych to časem mohl napsat na wiki.
-
Radši hned ;)