Как заблокировать весь трафик, кроме Firefox?

Скажем, например, что я хочу заблокировать весь трафик, кроме входящего из nginx, исходящего для firefox и разрешающего и входящего через некоторый торрент-клиент. Это будет возможно? Я взглянул на apparmor, и у него, похоже, нет глобального профиля, но я могу ошибаться.

Можно ли заблокировать его для всех пользователей, включая root, но белый список доступа SOMEUSERNAME к Интернету?

1 ответ

Можно ли заблокировать его для всех пользователей, включая root, но белый список доступа SOMEUSERNAME к Интернету?

Можно сделать с помощью iptables:

iptables -A OUTPUT -m owner --uid-owner SOMEUSERNAME -j ACCEPT
iptables -A OUTPUT -j REJECT

Это не очень нюанс. Конечно, пользователь root может пойти дальше и переписать правила iptables, чтобы дать себе разрешение.

Вы можете внести в белый список входящие порты (скажем, SSH, HTTP и HTTPS):

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j REJECT

Фильтрация на уровне приложения невозможна с iptables, но вы можете запускать Firefox и торрент-клиент под отдельными пользователями и таким образом фильтровать их аналогичным образом.

Также см:

Другие вопросы по тегам