Jak zakázat přístup na internet jednomu programu? [vyřešeno]

[Martin 'Želva' Malý]

Zdravím ve spolek,

potřeboval bych, aby se mi jeden program nemohl dostat na internet. Myslím, že vám nemusím psát, co je to za program a proč to potřebuji. Zkoušel jsem firewall klikátko GUFW, je tam sice kolonka "zakázat" → "program", ale na výběr je pouze Amule, Deluge, Nicotine, Transmission, Vuze. A to je mi asi k ničemu...

Nevíte prosím o nějakém způsobu, jak zablokovat 1 program/proces? Linux má vlastně zabudovaný firewall v jádře, takže to nějak musí jít, ale nevím, jak to nastavit.

Díky.

[mka]

Obávám se, že pokud to chceš udělat tak, aby jeden program měl povolen port/protokol a jiný program ne, tak to nejde; (g)ufw to dělá tak, že zakáže kombinace port/protokol, které daný program používá.

Kód: [Vybrat]

man iptablesPříjemnou zábavu.

[mka]

No,
alespoň v mém výstupu z

Kód: [Vybrat]

man iptables není ani pid-owner ani (jinde citovaný) cmd-owner, který by údajně měl umět sežrat jméno programu. Takže že by nedokumentované funkce?

[Ender Wiggin]

Pokud ještě tazatel ještě nezkoušel, nechť se podívá na http://ubuntuforums.org/showthread.php?t=1188099 . Nejen první příspěvek je užitečný.

[Martin Kiklhorn]

Nějaké moduly by se určitě nechaly najít a zakompilovat, ale když tak procházím config jádra (lucid) tak jsem narazil na toto:

Kód: [Vybrat]

CONFIG_NETFILTER_XT_MATCH_OWNER:                                                                                                                       │   
  │                                                                                                                                                        │   
  │ Socket owner matching allows you to match locally-generated packets                                                                                    │   
  │ based on who created the socket: the user or group. It is also                                                                                         │   
  │ possible to check whether a socket actually exists.                                                                                                    │   
  │                                                                                                                                                        │   
  │ Symbol: NETFILTER_XT_MATCH_OWNER [=m]                                                                                                                  │   
  │ Prompt: "owner" match support                                                                                                                          │   
  │   Defined at net/netfilter/Kconfig:729                                                                                                                 │   
  │   Depends on: NET [=y] && INET [=y] && NETFILTER [=y] && NETFILTER_XTABLES [=m] && NETFILTER_ADVANCED [=y]                                             │   
  │   Location:                                                                                                                                            │   
  │     -> Networking support (NET [=y])                                                                                                                   │   
  │       -> Networking options                                                                                                                            │   
  │         -> Network packet filtering framework (Netfilter) (NETFILTER [=y])                                                                             │   
  │           -> Core Netfilter Configuration                                                                                                              │   
  │             -> Netfilter Xtables support (required for ip_tables) (NETFILTER_XTABLES [=m])    Bohužel v *buntu není defaultně konfigurace aktuálního jádra vidět v /proc/config.gz takže nevylučuji že tento modul nebude povolen, ale pokud to (owner) fungovalo před 4mi lety tak proč by nemělo dnes.

[arrange]

> EW
Díky za odkaz, zkouším to na LL a funguje perfektně. Není to určitě tak neprůstřelné jako AppArmor, ale je to mnohem jednodušší.

[Armus69]

co TCP wrapers

[Yontalcar]

Bohužel v *buntu není defaultně konfigurace aktuálního jádra vidět v /proc/config.gz...

Od čeho je /boot/config-`uname -r`?

[Martin Kiklhorn]

4Yontalcar
už jsem minimálně jednou v Ubuntu narazil na to že /boot/config-`uname -r` neodpovídal běžícímu jádru (neupravované, distribuční).
Když přibyla možnost mít k dispozici config v /proc tak jsem zajásal že konečně bude k dispozici config odpovídající realitě.

[Martin 'Želva' Malý]

Dík za odpovědi, asi trpím sklerózou, zapomněl jsem, že jsem to téma tady založil. :-)

Teďka odjíždím na Velikonice pryč, takže po nich si rád vyzkouším ty rady.

Mimochodem: nemám Ubuntu, ale Debian. Myslel jsem si, že je to jedno, ale možná, jak teď vidím, to asi úplně jedno nebude.

Mějte se a dík.

[Martin 'Želva' Malý]

Tak ten návod na ubuntuforums.org mi funguje, díky moc hoši, možná bych to časem mohl napsat na wiki.

[arrange]

Radši hned