Как с помощью ufw или на край iptables заблокировать доступ к сети для программы, по названию?

В смотрю стучаться в сеть программы, у которых не должно быть сетевой активности, ток монитор трафика. Как заблочить, pid у софтин меняется пре перезапуске
Elohph5c
стучаться в сеть программы, у которых не должно быть сетевой активности
Интересно, что же это за проги такие. В части PID - его знать и не обязательно - его можно и вычислить pidof proga
Ошибки не исчезают с опытом - они просто умнеют
Opensnitch - OpenSnitch is a GNU/Linux port of the Little Snitch application firewall. Есть в АУР.
In Tux We Trust
Elohph5c
Как заблочить
Я давненько нагуглил такую инструкцию (вроде работает):
---------------------------------------------------------------------------------------
The solution for me happened to be straight forward.

Create, validate new group; add required users to this group:
Create: groupadd nointernet
Validate: grep nointernet /etc/group
Add user: useradd -g nointernet username

Note: If you're modifying already existing user you should run:
usermod -a -G no-internet userName check with : sudo groups userName

Create a script in your path and make it executable:
Create: nano /home/username/.local/bin/nointernet
---------------------------------------------------------------------------------------
$ sudo nano /lib/systemd/system/nointernet.service

[Unit]
Description=Mask Internet
After=multi-user.target

[Service]
Type=idle
ExecStart=/usr/local/bin/nointernet

[Install]
WantedBy=multi-user.target

$ sudo chmod 644 /lib/systemd/system/nointernet.service
-------------------------------------------------------
$ sudo nano /usr/local/bin/nointernet
$ sudo chmod 755 /usr/local/bin/nointernet

Executable: chmod 755 /home/username/.local/bin/nointernet
Content:
#!/bin/bash
sg nointernet "[email protected]"

// Add iptables rule for dropping network activity for group nointernet:
// sudo nano /etc/network/if-pre-up.d/inet_access_blocking_rule

у меня тут: /etc/iptables/iptables.rules
Content:
# Empty iptables rule file
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-I OUTPUT 1 -m owner --gid-owner nointernet -j DROP
COMMIT

$ sudo groupadd nointernet
$ sudo usermod -a -G nointernet ussr
$ sudo iptables -I OUTPUT 1 -m owner --gid-owner nointernet -j DROP
----------------------------
$ sudo systemctl start iptables

Однако, эта служба не будет стартовать, пока отсутствует файл /etc/iptables/iptables.rules,
который не создается пакетом iptables по умолчанию. Поэтому,
чтобы запустить службу в первый раз, скопируйте в него "пустой" набор правил:

$ sudo cp /etc/iptables/empty.rules /etc/iptables/iptables.rules
$ systemctl start iptables

Как и другие службы, для запуска при старте системы служба iptables должна быть включена:

$ sudo systemctl enable iptables

Настройка из командной строки
Отображение текущих правил

Вы можете проверить текущий набор правил и количество срабатываний каждого используя команду:

$ sudo iptables -nvL
---------------------------------------

Note: Don't forget to make the changes permanent, so it would be applied automatically after reboot.
Doing it, depends on your Linux distribution.
4. Check it, for example on Firefox by running:

nointernet "firefox"

In case you would want to make an exception and allow a program to access local network:

iptables -A OUTPUT -m owner --gid-owner nointernet -d 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -m owner --gid-owner nointernet -d 127.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -m owner --gid-owner noiinternet -j DROP

NOTE: In case of spawning the rules will be maintained. For example,
if you run a program with no-internet rule and that program will open browser window, still the rules will be applied.
Давайте жить дружно! :-)
igorog - это слишком сложно, для простой задачи строить космический корабль
Используя firejail перекрыть ему сеть.
Mirk
Используя firejail перекрыть ему сеть.
как вариант, ключи правильные использовать
igorog, не будет это работать из за мешанины в путях.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
nafanja
не будет это работать из за мешанины в путях
Не знаю почему, но у меня всё работает. Я же проверил, перед тем как выкладывать.
Elohph5c
слишком сложно
Хозяин-барин, конечно. Я долгое время был виндузятником, и то, мне не сложно выполнить три небольшие действия из этой инструкции.
Затем любое приложение запускается так: nointernet "firefox"
Давайте жить дружно! :-)
igorog
Не знаю почему, но у меня всё работает. Я же проверил, перед тем как выкладывать.
а что внутри /usr/local/bin/nointernet ? и зачем /lib/systemd/system/nointernet.service?
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
 
Зарегистрироваться или войдите чтобы оставить сообщение.