Как с помощью ufw или на край iptables заблокировать доступ к сети для программы, по названию?

Elohph5c	# 2 года, 2 месяца назад
Темы: 41 Сообщения: 142 Участник с: 08 апреля 2020	В смотрю стучаться в сеть программы, у которых не должно быть сетевой активности, ток монитор трафика. Как заблочить, pid у софтин меняется пре перезапуске

vasek	# 2 года, 2 месяца назад
Темы: 48 Сообщения: 11320 Участник с: 17 февраля 2013	Elohph5c стучаться в сеть программы, у которых не должно быть сетевой активности Интересно, что же это за проги такие. В части PID - его знать и не обязательно - его можно и вычислить pidof proga Ошибки не исчезают с опытом - они просто умнеют

vasek

# 2 года, 2 месяца назад

Темы: 48

Сообщения: 11320

Участник с: 17 февраля 2013

Elohph5c
стучаться в сеть программы, у которых не должно быть сетевой активности

Интересно, что же это за проги такие. В части PID - его знать и не обязательно - его можно и вычислить pidof proga

Ошибки не исчезают с опытом - они просто умнеют

redix	# 2 года, 2 месяца назад
Темы: 34 Сообщения: 3433 Участник с: 11 марта 2013	Opensnitch - OpenSnitch is a GNU/Linux port of the Little Snitch application firewall. Есть в АУР. In Tux We Trust

igorog	# 2 года, 2 месяца назад (отредактировано 2 года, 2 месяца назад)
Темы: 12 Сообщения: 136 Участник с: 22 июля 2018	Elohph5c Как заблочить Я давненько нагуглил такую инструкцию (вроде работает): --------------------------------------------------------------------------------------- The solution for me happened to be straight forward. Create, validate new group; add required users to this group: Create: groupadd nointernet Validate: grep nointernet /etc/group Add user: useradd -g nointernet username Note: If you're modifying already existing user you should run: usermod -a -G no-internet userName check with : sudo groups userName Create a script in your path and make it executable: Create: nano /home/username/.local/bin/nointernet --------------------------------------------------------------------------------------- $ sudo nano /lib/systemd/system/nointernet.service `[Unit] Description=Mask Internet After=multi-user.target [Service] Type=idle ExecStart=/usr/local/bin/nointernet [Install] WantedBy=multi-user.target` $ sudo chmod 644 /lib/systemd/system/nointernet.service ------------------------------------------------------- $ sudo nano /usr/local/bin/nointernet $ sudo chmod 755 /usr/local/bin/nointernet Executable: chmod 755 /home/username/.local/bin/nointernet Content: `#!/bin/bash sg nointernet "$@"` // Add iptables rule for dropping network activity for group nointernet: // sudo nano /etc/network/if-pre-up.d/inet_access_blocking_rule у меня тут: /etc/iptables/iptables.rules Content: `# Empty iptables rule file *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -I OUTPUT 1 -m owner --gid-owner nointernet -j DROP COMMIT` $ sudo groupadd nointernet $ sudo usermod -a -G nointernet ussr $ sudo iptables -I OUTPUT 1 -m owner --gid-owner nointernet -j DROP ---------------------------- $ sudo systemctl start iptables Однако, эта служба не будет стартовать, пока отсутствует файл /etc/iptables/iptables.rules, который не создается пакетом iptables по умолчанию. Поэтому, чтобы запустить службу в первый раз, скопируйте в него "пустой" набор правил: $ sudo cp /etc/iptables/empty.rules /etc/iptables/iptables.rules $ systemctl start iptables Как и другие службы, для запуска при старте системы служба iptables должна быть включена: $ sudo systemctl enable iptables Настройка из командной строки Отображение текущих правил Вы можете проверить текущий набор правил и количество срабатываний каждого используя команду: $ sudo iptables -nvL --------------------------------------- Note: Don't forget to make the changes permanent, so it would be applied automatically after reboot. Doing it, depends on your Linux distribution. 4. Check it, for example on Firefox by running: `nointernet "firefox"` In case you would want to make an exception and allow a program to access local network: iptables -A OUTPUT -m owner --gid-owner nointernet -d 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -m owner --gid-owner nointernet -d 127.0.0.0/8 -j ACCEPT iptables -A OUTPUT -m owner --gid-owner noiinternet -j DROP NOTE: In case of spawning the rules will be maintained. For example, if you run a program with no-internet rule and that program will open browser window, still the rules will be applied. Давайте жить дружно! :-)

igorog

# 2 года, 2 месяца назад (отредактировано 2 года, 2 месяца назад)

Темы: 12

Сообщения: 136

Участник с: 22 июля 2018

Elohph5c
Как заблочить

Я давненько нагуглил такую инструкцию (вроде работает):
---------------------------------------------------------------------------------------
The solution for me happened to be straight forward.

Create, validate new group; add required users to this group:
Create: groupadd nointernet
Validate: grep nointernet /etc/group
Add user: useradd -g nointernet username

Note: If you're modifying already existing user you should run:
usermod -a -G no-internet userName check with : sudo groups userName

Create a script in your path and make it executable:
Create: nano /home/username/.local/bin/nointernet
---------------------------------------------------------------------------------------
$ sudo nano /lib/systemd/system/nointernet.service

[Unit]
Description=Mask Internet
After=multi-user.target

[Service]
Type=idle
ExecStart=/usr/local/bin/nointernet

[Install]
WantedBy=multi-user.target

$ sudo chmod 644 /lib/systemd/system/nointernet.service
-------------------------------------------------------
$ sudo nano /usr/local/bin/nointernet
$ sudo chmod 755 /usr/local/bin/nointernet

Executable: chmod 755 /home/username/.local/bin/nointernet
Content:

#!/bin/bash
sg nointernet "$@"

// Add iptables rule for dropping network activity for group nointernet:
// sudo nano /etc/network/if-pre-up.d/inet_access_blocking_rule
у меня тут: /etc/iptables/iptables.rules
Content:

# Empty iptables rule file
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-I OUTPUT 1 -m owner --gid-owner nointernet -j DROP
COMMIT

$ sudo groupadd nointernet
$ sudo usermod -a -G nointernet ussr
$ sudo iptables -I OUTPUT 1 -m owner --gid-owner nointernet -j DROP
----------------------------
$ sudo systemctl start iptables

Однако, эта служба не будет стартовать, пока отсутствует файл /etc/iptables/iptables.rules,
который не создается пакетом iptables по умолчанию. Поэтому,
чтобы запустить службу в первый раз, скопируйте в него "пустой" набор правил:

$ sudo cp /etc/iptables/empty.rules /etc/iptables/iptables.rules
$ systemctl start iptables

Как и другие службы, для запуска при старте системы служба iptables должна быть включена:

$ sudo systemctl enable iptables

Настройка из командной строки
Отображение текущих правил

Вы можете проверить текущий набор правил и количество срабатываний каждого используя команду:

$ sudo iptables -nvL
---------------------------------------

Note: Don't forget to make the changes permanent, so it would be applied automatically after reboot.
Doing it, depends on your Linux distribution.
4. Check it, for example on Firefox by running:

nointernet "firefox"

In case you would want to make an exception and allow a program to access local network:

iptables -A OUTPUT -m owner --gid-owner nointernet -d 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -m owner --gid-owner nointernet -d 127.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -m owner --gid-owner noiinternet -j DROP

NOTE: In case of spawning the rules will be maintained. For example,
if you run a program with no-internet rule and that program will open browser window, still the rules will be applied.

Давайте жить дружно! :-)

Elohph5c	# 2 года, 2 месяца назад
Темы: 41 Сообщения: 142 Участник с: 08 апреля 2020	igorog - это слишком сложно, для простой задачи строить космический корабль

Mirk	# 2 года, 2 месяца назад
Темы: 7 Сообщения: 305 Участник с: 20 мая 2018 заблокирован	Используя firejail перекрыть ему сеть.

Elohph5c	# 2 года, 2 месяца назад
Темы: 41 Сообщения: 142 Участник с: 08 апреля 2020	Mirk Используя firejail перекрыть ему сеть. как вариант, ключи правильные использовать

nafanja	# 2 года, 2 месяца назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	igorog, не будет это работать из за мешанины в путях. Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

igorog	# 2 года, 2 месяца назад (отредактировано 2 года, 2 месяца назад)
Темы: 12 Сообщения: 136 Участник с: 22 июля 2018	nafanja не будет это работать из за мешанины в путях Не знаю почему, но у меня всё работает. Я же проверил, перед тем как выкладывать. Elohph5c слишком сложно Хозяин-барин, конечно. Я долгое время был виндузятником, и то, мне не сложно выполнить три небольшие действия из этой инструкции. Затем любое приложение запускается так: nointernet "firefox" Давайте жить дружно! :-)

igorog

# 2 года, 2 месяца назад (отредактировано 2 года, 2 месяца назад)

Темы: 12

Сообщения: 136

Участник с: 22 июля 2018

nafanja
не будет это работать из за мешанины в путях

Не знаю почему, но у меня всё работает. Я же проверил, перед тем как выкладывать.

Elohph5c
слишком сложно

Хозяин-барин, конечно. Я долгое время был виндузятником, и то, мне не сложно выполнить три небольшие действия из этой инструкции.
Затем любое приложение запускается так: nointernet "firefox"

Давайте жить дружно! :-)

nafanja	# 2 года, 2 месяца назад (отредактировано 2 года, 2 месяца назад)
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	igorog Не знаю почему, но у меня всё работает. Я же проверил, перед тем как выкладывать. а что внутри /usr/local/bin/nointernet ? и зачем /lib/systemd/system/nointernet.service? Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja

# 2 года, 2 месяца назад (отредактировано 2 года, 2 месяца назад)

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

igorog
Не знаю почему, но у меня всё работает. Я же проверил, перед тем как выкладывать.

а что внутри /usr/local/bin/nointernet ? и зачем /lib/systemd/system/nointernet.service?

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874