Szevasztok
...a 80as port nyitva, de csak a firefox számára mondjuk...
Nufw -vel meg lehet oldani ezeket a dolgokat.
( Nálam legalábbis működik )
Nufw felmegy, beállítod az acl -eket, kliensgépekre szintén nufw ( csak kliens módban indítva ) netfilterrel kiküldöd NFQUEUE -be a bejövő 80 -as portot, ott a nufw elkapja, acl és mark_field alapján eldönti, hogy a user jogosult -e a 80 -ast használni firefox -szal.
A nufw ezek alapján dönt:
- IP cím
- OS ( linux, bsd, windows )
- User
- Alkalmazás
Lehetőséged van pl. egyéni sávszélkorlátozásra szabályzásra user -ek alapján, stb...
Rengeteg dolog van a nufw -ben, ami nagyon hasznos.
...--uid-owner username alapján? és a FF külön user-rel indulna...
Az a gáz, hogy a --uid-owner csak OUTPUT láncon van, ugyanis a netfilternek hozzá kell férni a szülőfolyamat azonosítójához.
Azt meg ugye nem tudja, hogy a belső hálón levő gépen melyik user indította a rogramot.
Egyébként, ha már szóba került a netfilter, akkor szerintem inkább abba az irányba kellene menni, hogy az alkalmazásszintű csomagszűrést fejleszteni, mivel szerintem ez a jövő.
Bár én nem vagyok szakértő és nem vagyok netfilter guru, de pl:
Személy szerint néhány helyen azért használok inkább netfiltert, mint pf -et, mert alkalmazásszinten kell szűrni.
Layer7 -tel, és xtables-addons -szal ( amiben benne van Kadlecsik Józsi ipset -je is ), sokkal nagyobb mozgástere van az embernek.
Pl: Iskolában:
Torrentet nem tudsz portra szűrni, hiába dobod mondjuk a 6881:6889 -es tartományt, átteszik a gyerkőcök a torrentklienst, oszt viszlát ezerrel jön le a cucc.
Layer7, vagy ipp2p megfogja...
Msn fájlküldés:
Msn chat mehet, msn fájlküldést layer7 fogja.
Stb, stb, stb...
Szerintem a nufw -nek nagyon sok jó dolga van, plusz a layer7 xtables-addons nagyon sokat segít.
De ez csak az én szerény véleményem, nem vagyok szakértő.
Szevasztok