Как заблокировать весь трафик, кроме Firefox?
Скажем, например, что я хочу заблокировать весь трафик, кроме входящего из nginx, исходящего для firefox и разрешающего и входящего через некоторый торрент-клиент. Это будет возможно? Я взглянул на apparmor, и у него, похоже, нет глобального профиля, но я могу ошибаться.
Можно ли заблокировать его для всех пользователей, включая root, но белый список доступа SOMEUSERNAME к Интернету?
1 ответ
Можно ли заблокировать его для всех пользователей, включая root, но белый список доступа SOMEUSERNAME к Интернету?
Можно сделать с помощью iptables:
iptables -A OUTPUT -m owner --uid-owner SOMEUSERNAME -j ACCEPT
iptables -A OUTPUT -j REJECT
Это не очень нюанс. Конечно, пользователь root может пойти дальше и переписать правила iptables, чтобы дать себе разрешение.
Вы можете внести в белый список входящие порты (скажем, SSH, HTTP и HTTPS):
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j REJECT
Фильтрация на уровне приложения невозможна с iptables
, но вы можете запускать Firefox и торрент-клиент под отдельными пользователями и таким образом фильтровать их аналогичным образом.
Также см: