Главная » Форум » Gentoo Linux » Системное администрирование

Контроль доступа приложений к сети

ladserg 18 апреля, 2006 - 22:06

Тут видузятники на одном форуме наезжают, задают глупые вопросы, но один меня заинтерисовал.

Ребята, возможно ли под линуксом контролировать, какие программы могут в сеть посылать пакеты и принимать, а какие нет?

Вернее есть ли контроль доступа приложений к сети как у ихнего OutPost'а?

‹ Проблема выстановки шлюза mount из-под обычного юзера [нужна помощь] ›
»

iptables можно

Автор loginex (не зарегистрирован), дата создания 19 апреля, 2006 - 00:30.

iptables
можно блокировать исходящие пакеты...

»

+1 Плюс там был

Автор MooSE, дата создания 19 апреля, 2006 - 00:33.

+1

Плюс там был какой-то модуль для контороля PID, UID, GID и прочих параетров запущенного приложения..

»

+ есть ещё

Автор iNDiAnFLy, дата создания 19 апреля, 2006 - 09:12.

+ есть ещё "фейсы" для iptables которые наглядно умеют отображать кто и куда ломится...
к примеру Firestarter
http://www.fs-security.com/screenshots.php

»

Спасибо за

Автор ladserg, дата создания 19 апреля, 2006 - 11:05.

Спасибо за наводку, а где почитать про контроль по PID, UID, GID на русском не подскажете?

»

На www.opennet.ru есть

Автор ed13 (не зарегистрирован), дата создания 19 апреля, 2006 - 11:41.

На www.opennet.ru (например http://www.opennet.ru/docs/RUS/iptables/) есть доки по firwall и там описано в частности то что тебя интересует. И еще посмотри на patch-o-matic, он дополняет iptables очень полезными вещами, но по нему русских доков я не встречал.

»

http://www.opennet.ru/docs/RUS/iptables/#TABLE.OWNERMATCH

Автор MKV, дата создания 19 апреля, 2006 - 11:47.

http://www.opennet.ru/docs/RUS/iptables/#TABLE.OWNERMATCH

»

Что то я не могу

Автор ladserg, дата создания 19 апреля, 2006 - 15:21.

Что то я не могу запретить программе обращение в сеть, пишу:

# iptables -A OUTPUT -m owner --cmd-owner ping -j DROP

А в ответ получаю:

iptables: Invalid argument

Причём ограничения по uid работает, модуль ipt_owner вкомпилирован в ядро. Может ещё что то забыл присобачить?

»

А поддержка SMP в

Автор Гость (не зарегистрирован), дата создания 20 апреля, 2006 - 16:43.

А поддержка SMP в ядре включена? У меня на 2.6.15 тоже самое, сейчас запустил пересборку ядра c выключенным SMP

»

SMP отключено,

Автор ladserg, дата создания 22 апреля, 2006 - 19:09.

SMP отключено, говорят что в последних версиях ядра возможность проверки по pid, sid, cmd отрезана совсем.

»

может в портежах подходящая версия

Автор Laitr Keiows, дата создания 23 апреля, 2006 - 08:02.

http://www.gentoo-portage.com/net-firewall/iptables

»

Нет.

Автор ladserg, дата создания 25 апреля, 2006 - 08:01.

Нет. Дело как оказалось в изменениях ядра.

»

Удалено повторение.

Автор ladserg, дата создания 25 апреля, 2006 - 08:04.

Удалено повторение.

»

*  net-misc/l7-filter   

Автор v12aml, дата создания 2 мая, 2006 - 13:56.
*  net-misc/l7-filter
      Latest version available: 2.1
      Latest version installed: [ Not Installed ]
      Size of files: 92 kB
      Homepage:      http://l7-filter.sourceforge.net
      Description:   Kernel modules for layer 7 iptables filtering
      License:       GPL-2
Цитата:
L7-filter is a classifier for Linux's Netfilter that identifies packets based on application layer data. It can classify packets as Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000, etc., regardless of port. It complements existing classifiers that match on IP address, port numbers and so on.

_________________
GNU/Wonderland -- GNU/Страна чудес, страна, в которой вы часто бываете, но, в которую, что примечательно, не надо оформлять визу.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".