заблокировать сеть для программы

0

2

Есть такая тема: http://unix.stackexchange.com/questions/68956/block-network-access-of-a-process

unshare -n ping 127.0.0.1
connect: Network is unreachable

unshare -n -- sh -c 'ifconfig lo up; ping 127.0.0.1'
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=32 time=0.066 ms

Это позволяет вырубить сеть для приложения, но если ему нужно loopback - можно и вернуть. Это работает.

Моя проблема такая - программа хочет интерфейс с MAC-адресом, таким как у eth0, однако unshare -n его полностью убирает. Есть ли возможность вернуть eth0 но так, чтобы программа не видела интернета?

Может есть другой способ сделать так, чтобы программа думала что интернета нет и не могла пробиться куда либо? Просто unshare это позволяет для отдельной цепочки процесса и его подпроцессов - супер, но мне надо чтобы интерфейс с его MAC-адресом всё же был виден.

Ссылка

←	Настройка SASL

mount.nfs: Connection timed out

→

через iptables можно

http://linuxpoison.blogspot.md/2010/11/how-to-limit-network-access-by-user.html

snaf ★★★★★
(18.04.16 12:30:08 MSK)

Ссылка

ip netns

zolden ★★★★★
(18.04.16 12:30:26 MSK)

Ссылка

Если нужен фиксированные MAC, то veth + netns

vel ★★★★★
(18.04.16 12:39:23 MSK)

Ссылка

Можно средствами iptables резать исходящее наружу по UID/GID.
Можно заюзать интерфейс dummy.
Можно запихнуть программу в контейнер с требуемым конфигом сети.

ArcFi ★
(18.04.16 12:57:52 MSK)

Ответ на: комментарий от ArcFi 18.04.16 12:57:52 MSK

snaf

Вот я попробовал оба этих способа:

http://askubuntu.com/questions/19346/how-to-block-internet-access-for-wine-ap...

http://askubuntu.com/questions/45072/how-to-control-internet-access-for-each-...

Это лучше чем «unshare -n» - интернет блокируется а интерфейсы видны, однако возникают проблемы при коннекте программ по части loopback, что очень нужно для работы этого ПО.

Похоже это

iptables -A OUTPUT -m owner --gid-owner no-internet -j DROP

радикально глушит все пакеты. Как мне модифицировать это правило, чтобы loopback (127.0.0.1) работал без проблем?

I-Love-Microsoft ★★★★★
(20.04.16 15:48:48 MSK) автор топика

Ответ на: комментарий от I-Love-Microsoft 20.04.16 15:48:48 MSK

iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT

ArcFi ★
(20.04.16 16:41:10 MSK)

Ответ на: комментарий от ArcFi 20.04.16 16:41:10 MSK

sudo iptables -A OUTPUT -m owner --gid-owner no-internet -j DROP
sudo iptables -I INPUT -m owner --gid-owner no-internet -i lo -j ACCEPT
sudo iptables -I OUTPUT -m owner --gid-owner no-internet -o lo -j ACCEPT
sudo -g no-internet bash -c 'ping 8.8.8.8 -W 1 -c 5'

Ура! Работает как надо теперь! Если запускать от группы no-internet при помощи sudo -g no-internet.

I-Love-Microsoft ★★★★★
(20.04.16 17:02:26 MSK) автор топика

Ссылка

Я тоже начинал с unshare. Но из-коробки он только под админом завёлся, если не путаю. А вот есть NoNetwork. Там топорно простым способом без рута используется LD_PRELOAD.

gag ★★★★★
(20.04.16 19:24:11 MSK)

Ответ на: комментарий от gag 20.04.16 19:24:11 MSK

Спасибо, любопытно. Хотя... «Do not use for sandboxing and security! The network access can be easily re-enabled, e.g. by removing LD_PRELOAD environment variable», но не думаю что софт делает такие финты.

I-Love-Microsoft ★★★★★
(22.04.16 09:25:15 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Настройка SASL

Admin

mount.nfs: Connection timed out

→

Похожие темы