LINUX.ORG.RU
решено ФорумAdmin

Запретить пользователю доступ к сети

 


0

1

Возможно ли посредством nftables запретить пользователю весь сетевой трафик, как это можно было сделать в iptables?

Было вроде можно так:

/sbin/iptables -A OUTPUT -o eth0 -m owner --uid-owner 1000 -j DROP

А вот для nftables что-то не гуглится ничего подобного. Firejail использовать не вариант. Или может помимо nftables есть еще какие-то варианты сделать такое подручными средствами?

★★★★★

А вот для nftables что-то не гуглится ничего подобного.

Я не специалист в nftables, но вроде как заявлялось, что данная система поддерживает старый синтаксис iptables (там есть исключения, но вроде Ваш случай под них не попадает). Так что Ваше правило должно продолжать работать, если просто iptables заменить на nftables.

Serge10 ★★★★★
()
Ответ на: LMGTFY от anonymous

Блин, как-то пролистал мимо этой страницы. Хотя был у них на вики. Спасибо.

gutaper ★★★★★
() автор топика
Ответ на: комментарий от post-factum

Надоело запускать оригинальный keepass под моно (жрет много проца - 2-5 нагрузка именно этим процессом, а разбираться схрена ли так - лень). Решил все же пользовать keepassxc, но не люблю васяносборки - поэтому хочу пускать его под отдельным урезанным пользователем, без доступа к сети вообще.

Ну и не только ради keepass это. 1. Еще и для других целей сгодится. 2. Узнать, как это делается для самоудовлетворения.

gutaper ★★★★★
() автор топика
Ответ на: комментарий от Serge10

Выше уже указали и ссылку и сразу команду, как можно добиться нужного

gutaper ★★★★★
() автор топика
Ответ на: комментарий от post-factum

Этого даже в репе дебиана нет. А в openSUSE (официальных) появится чуть позже, чем никогда.

Потом и хочу сделать из того, что есть в базовой поставке (ну или тем, что уже пользую)

gutaper ★★★★★
() автор топика

Не забудь пользователя огородить от файлов и процессов других пользователей.

anonymous
()
Ответ на: комментарий от anonymous

Разумеется. Хомяк отгордил. А лиса от дргуого пользователя пускается, в отдельных иксах.

gutaper ★★★★★
() автор топика
Ответ на: комментарий от post-factum

В Leap 15.1 - нет :) Тут вообще нихрена нет в офрепах, по-моему.

Хотя если таки сменю дистр, то остановлюсь на firejail, наверное, да

gutaper ★★★★★
() автор топика
Ответ на: комментарий от post-factum

Изначально так и хотел. Но если добавить новый ns то гуй уже не запускается. А разбираться не захотелось

gutaper ★★★★★
() автор топика
Ответ на: комментарий от gutaper

Ну вот как-то не знаю. Сейчас протестил, и гуй запустился. Да, через sudo, но всё же:

[~]$ sudo ip netns add test
[~]$ sudo ip netns exec test sudo -u pf konsole

И потом в самом Konsole написал ip a и получил только лупбек.

post-factum ★★★★★
()
Последнее исправление: post-factum (всего исправлений: 1)
Ответ на: комментарий от post-factum

Сегодня выбросил openSUSE окончательно. Там точно не запускалось. В дебиане проверил сейчас - работает. Либо в сусе секурней все, либо глючней. ХЗ.

Спасибо. Пожалуй да, тогда просто запихну в отдельный ns

gutaper ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.