sane+xsane+iptables

> Есть ли возможность в iptables сделать привязку к приложению?

Есть. --cmd-owner, --uid-owner, --gid-owner

А может, есть возможность использовать не рандомный порт, а заданный?

Неа

Using the SANE network backend, I can see my scanner, set options, etc., but I cannot preview or scan Make sure that the networked scanner is not behind a firewall which blocks ports > 1024. Currently, SANE asks the operating system a new port (> 1024) to use when doing the actual preview or scan. The normal SANE port (6566 by default) is used only for setting options etc. The port returned by the operating system cannot be determined beforehand.

Отсюда http://sanetwain.ozuzo.net/

Только вот указанные выше опции могут работать только на выходе. А надо-то, видимо, фильтровать на входе. Наверное, это можно сделать через какой-нибудь изврат, но вот вопрос: а чем же это "несекурно"? Вполне нормальная ситуация, если открыты на вход ВСЕ порты, корме некоторых, на коротых слушают сервисы, которые должны быть недоступны извне.

Потому что должны быть все порты ЗАКРЫТЫ, кроме тех что я разрешаю на входе.

это параноя

Нет, это нормпльный подход к безопасности...Я кстати, когда только начинал, тоже ставил везде ассепт а потом резал порты. Но с опытом пришла истина;)

> --cmd-owner, --uid-owner, --gid-owner

--cmd-owner, если я ничего не путаю, убрали начиная с какой-то версии ядра (ибо небезопасно было). Поэтому разумно запускать sane под каким-то конкретным пользователем и разрешать входящие соединения для него через опцию --uid-owner в iptables.

а как разрешить ВХОДЯЩЕЕ соединение для данной программы? Разве --uid-owner имет смысл не только для локально сгенерированных пакетов?