filter by pid

0

1

Доброй ночи, ЛОР. Подскажи, как можно фильтровать пакеты с определенного пида. Хочу замедлить скорость и создать потери. В iptables есть модуль owner, а как это сделать с pf?

Ссылка

←	Не удаляются директории с pure-ftp сервера из под нелинуксовых клиентов

Как настроить pptpd для работы с клиентами из других сетей

→

Скорость можно замедлить и без использования pf. Есть порт trickle, который это позволяет.

IPR ★★★★★
(16.11.12 07:14:30 MSK)

Кратко - никак. Только по пользователю:

http://openbsd.7691.n7.nabble.com/pf-conf-by-PID-td68844.html#a17496273

~~sergv~~ ★
(16.11.12 07:17:53 MSK)

Ответ на: комментарий от IPR 16.11.12 07:14:30 MSK

явно не то, что нужно.

loginoleg
(16.11.12 13:40:31 MSK) автор топика

Ссылка

Ответ на: комментарий от sergv 16.11.12 07:17:53 MSK

Грустно, но ведь как-то решают такую проблему.

loginoleg
(16.11.12 13:53:12 MSK) автор топика

Ссылка

в freebsd несколько firewall могут работать одновременно. use ipfw.

hizel ★★★★★
(16.11.12 13:57:47 MSK)

Ответ на: комментарий от hizel 16.11.12 13:57:47 MSK

ок, а как в ipfw фильтровать пакеты по pid или name приложения?

loginoleg
(16.11.12 17:24:33 MSK) автор топика

Ответ на: комментарий от loginoleg 16.11.12 17:24:33 MSK

можно специального юзера завести в системе и запускать ограничиваемые процессы от его имени

Harald ★★★★★
(16.11.12 17:39:16 MSK)

Ответ на: комментарий от Harald 16.11.12 17:39:16 MSK

Да, это крайний вариант. Хочется сделать что бы фильтровались пакеты именно по пиду, любым образом, пусть даже маркеровать их как-то, главное, по pid. Разве это не тривиальная задача?

loginoleg
(16.11.12 17:42:00 MSK) автор топика

Ссылка

модуль owner кстати давно труп

hizel ★★★★★
(16.11.12 17:54:04 MSK)

Ответ на: комментарий от hizel 16.11.12 17:54:04 MSK

да, знаю, а как сейчас решают подобные проблемы? Пусть даже с iptables?

loginoleg
(16.11.12 18:35:17 MSK) автор топика

Ответ на: комментарий от loginoleg 16.11.12 18:35:17 MSK

через uid, например

hizel ★★★★★
(16.11.12 18:46:01 MSK)

Ответ на: комментарий от hizel 16.11.12 18:46:01 MSK

а через pid? Процесс который надо фильтровать создается другим процессом, у которого определенный uid, который не надо фильтровать. Доступа к исходникам нет.

loginoleg
(16.11.12 19:42:33 MSK) автор топика

Ответ на: комментарий от loginoleg 16.11.12 19:42:33 MSK

Фильтровать по PID в самом деле очень безсмысленно и этого нет. То, что скорей всего тебе надо — это systrace. Альтернативно — фильтровать по юзеру. Запретить всё и разрешить только то, что в самом деле надо. При этом надо учесть, что если сокет был создан до сбрасывания привилегий (setuid/setgid), то и UID/GID у сокета остаются родительские.

beastie ★★★★★
(17.11.12 03:55:08 MSK)
Последнее исправление: beastie 17.11.12 03:57:41 MSK (всего исправлений: 2)

в опене можно запускать процесс в отдельном роутинг домене и применять правила ко всему трафику в этом домене. как во фре это делается - хз, там пф старый и прочие утилиты в бейзе другие.

val-amart ★★★★★
(17.11.12 05:07:53 MSK)

Ответ на: комментарий от val-amart 17.11.12 05:07:53 MSK

а где об этом можно почитать? ссылка там или кей-вордс

loginoleg
(18.11.12 09:29:46 MSK) автор топика

Ответ на: комментарий от beastie 17.11.12 03:55:08 MSK

systrace, я так понимаю, не подойдет: мне не надо рубить все соккет вызовы процесса, мне надо симулировать «плохой интернет» лишь для одного приложения в системе.

loginoleg
(18.11.12 09:39:49 MSK) автор топика