- Выпуск межсетевого экрана firewalld 1.2, Alladin, 11:58 , 02-Июл-22 (1) –3
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 11:59 , 02-Июл-22 (2) +9 [^]
- Выпуск межсетевого экрана firewalld 1.2, Олежа, 12:02 , 02-Июл-22 (3) –1
- Выпуск межсетевого экрана firewalld 1.2, Sw00p aka Jerom, 12:02 , 02-Июл-22 (4)
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 12:05 , 02-Июл-22 (5) +5
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 13:16 , 02-Июл-22 (9) –5 [V]
- Выпуск межсетевого экрана firewalld 1.2, ixpert, 13:56 , 02-Июл-22 (15)
- Выпуск межсетевого экрана firewalld 1.2, ананоша, 14:14 , 02-Июл-22 (16)
- Выпуск межсетевого экрана firewalld 1.2, псевдоеимус, 14:14 , 02-Июл-22 (17) –1
- Выпуск межсетевого экрана firewalld 1.2, Брандмауэр без Root, 14:30 , 02-Июл-22 (21)
- Выпуск межсетевого экрана firewalld 1.2, ыы, 15:21 , 02-Июл-22 (28)
- Выпуск межсетевого экрана firewalld 1.2, нига, 17:49 , 02-Июл-22 (40) +1
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 10:24 , 05-Июл-22 (93)
- Выпуск межсетевого экрана firewalld 1.2, gapsf2, 11:26 , 05-Июл-22 (94)
Вот наивные - думают, что это некий эксклюзив firewalld и что только благодаря firewalld такое возможно. Это не так. Реализовано это (может быть) с помощью возможностей ipset: при добавлении в список можно указать таймаут, по истечении которого элемент будет удален из списка *автоматически* (т.е. ядром). Ну и очевидно, примитивно манипуляцией правилами iptables/nftabels через cron.
- Выпуск межсетевого экрана firewalld 1.2, ыы, 15:28 , 02-Июл-22 (30)
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 17:23 , 02-Июл-22 (36) +4
- Выпуск межсетевого экрана firewalld 1.2, BrainFucker, 18:17 , 02-Июл-22 (42)
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 19:25 , 02-Июл-22 (44)
- Выпуск межсетевого экрана firewalld 1.2, ыы, 19:27 , 02-Июл-22 (46)
- Выпуск межсетевого экрана firewalld 1.2, slepnoga, 19:44 , 02-Июл-22 (50)
- Выпуск межсетевого экрана firewalld 1.2, gapsf2, 21:27 , 02-Июл-22 (52)
С этим все непросто. Когда-то можно было фильтровать по pid, но это убрали. И прям по имени процесса или файла скорее всего никто никогда в ядре уже делать не будет, т.к. с точки зрения ядерщиков, все что можно сделать в юзерспейс не надо тащить в ядро. Кроме того имя процесса/команды неоднозначно: их может быть несколько. Для входящих соединений определить процесс, который получит пакет в общем случае затруднительно. В любом случае придется самому мастерить, сам я таким не занимался. На данный момент с помощью iptables можно фильтровать по -m cgroup --path... По сути это все, что доступно непосредственно по процессам.1 Пробовать/смотреть куда системд пихает процесс в cgroups и использовать -m cgroup --path если получится 2 Пробовать по разному использовать network namespaces https://unix.stackexchange.com/questions/68956/block-network... Причем в каждом пространстве имен собственные интерфейсы, таблицы маршрутизации и набор правил фаервола. Наверное это самый перспективный и гибкий вариант. 3 Запускать приложения под другим пользователем и использовать для фильтрации -m owner... 4 Пробовать selinux, apparmor, ясно что это гемор, хотя... https://askubuntu.com/questions/679474/how-to-block-internet... Т.е. apparmor настроить не очень сложно и можно прям по путям в фс огрничения делать. Тоже неплохой вариант. 5 Пробовать готовые проги, я нашел https://github.com/evilsocket/opensnitch https://douaneapp.com/ Эти проги gui и интерактивные, как именно они реализуют этот функционал - над смотреть исходники. Как видно вариантов много, поэтому ждать реализации этого прямо в ядре+iptables/nftables нет смысла.
- Выпуск межсетевого экрана firewalld 1.2, john_erohin, 07:43 , 03-Июл-22 (58) –1
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 09:44 , 03-Июл-22 (59)
- Выпуск межсетевого экрана firewalld 1.2, Qanon, 12:56 , 03-Июл-22 (61)
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 14:17 , 03-Июл-22 (64) +1
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 20:32 , 03-Июл-22 (72)
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 14:14 , 04-Июл-22 (79)
- Выпуск межсетевого экрана firewalld 1.2, BorichL, 15:57 , 04-Июл-22 (84)
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 22:22 , 02-Июл-22 (53) +1
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 01:11 , 03-Июл-22 (57)
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 11:35 , 03-Июл-22 (60) +3
- Выпуск межсетевого экрана firewalld 1.2, Annno, 16:09 , 03-Июл-22 (65)
- Выпуск межсетевого экрана firewalld 1.2, pfg21, 12:09 , 04-Июл-22 (76)
- Выпуск межсетевого экрана firewalld 1.2, Аноним, 11:11 , 06-Июл-22 (97)
|