История изменений
Исправление Pinkbyte, (текущая версия) :
Окей, дано - 2 программы, одну надо выпустить наружу только по 22 порту на определенные хосты, вторую - только по 80/443 везде. При этом программы должны видеть друг друга по сети(например общаются по 127.0.0.1 друг с другом). Усугубим тем, что программа А не должна иметь доступ к разрешенным портам для программы Б. Вариант запихать их в один network namespace - отпадает из-за того что тогда нельзя будет разграничить им доступ. Вариант запихать их в разные namespace - отпадает, т.к. не получится взаимодействовать друг с другом(127.0.0.1 в каждом namespace - свой).
Остаётся либо application based firewall(nufw/ufwi) либо банальное распихивание запуска программ по разным пользователям и фильтрация уже по uid пользователя и портам. В принципе в обоих случаях можно еще и network namespaces вдобавок прикрутить, если так уж хочется.
Исходная версия Pinkbyte, :
Окей, дано - 2 программы, одну надо выпустить наружу только по 22 порту на определенные хосты, вторую - только по 80/443 везде. При этом программы должны видеть друг друга по сети(например общаются по 127.0.0.1 друг с другом). Усугубим тем, что программа А не должна иметь доступ к разрешенным портам для программы Б. Вариант запихать их в один network namespace - отпадает из-за того что тогда нельзя будет разграничить им доступ. Вариант запихать их в разные namespace - отпадает, т.к. не получится взаимодействовать друг с другом(127.0.0.1 в каждом namespace - свой).
Остаётся либо application based firewall(nufw/ufwi) либо банальное распихивание запуска программ по разным пользователям и фильтрация уже по uid пользователя и портам