internet hozzáférés korlátozása a programoknak

UNIX kezdő

internet hozzáférés korlátozása a programoknak

  • 2642 megtekintés

( Zahy v | 2005. 11. 18., p – 14:29 )

[quote:f7eb29fdd7="snq-"]persze. futtass windowst vmware playerben, es hasznalj rajta keriofwt/jeticofwt/tucat mast, ami x eve tudja ezt.

Rendben. Tehat ha en "A" gepen Win-t futtatok Kerio-val, akkor a "B"-n futo UNIX-tuzfal miert is nem enged ki engemet? Mert nyilvan nem az a kerdes, hogy a Kerioban hogy tudom megcsinalni, hanem "UNIX"-ban, leven ez itt a UNIX-kezdo. (Szvsz jobb lett volna a Linux-kezdobe rakni es nem a UNIX-kezdobe, mer' mongyuk az en FreeBSD-men mar az iptables is problemakba utkozne ... )

( zsirfeka | 2005. 11. 18., p – 14:55 )

[quote:f195cb3ed9="Zahy"][quote:f195cb3ed9="snq-"]persze. futtass windowst vmware playerben, es hasznalj rajta keriofwt/jeticofwt/tucat mast, ami x eve tudja ezt.

Rendben. Tehat ha en "A" gepen Win-t futtatok Kerio-val, akkor a "B"-n futo UNIX-tuzfal miert is nem enged ki engemet? Mert nyilvan nem az a kerdes, hogy a Kerioban hogy tudom megcsinalni, hanem "UNIX"-ban, leven ez itt a UNIX-kezdo. (Szvsz jobb lett volna a Linux-kezdobe rakni es nem a UNIX-kezdobe, mer' mongyuk az en FreeBSD-men mar az iptables is problemakba utkozne ... )

azt hol is lattad, hogy A-n fut a program es B a tuzfal?

( snq- | 2005. 11. 18., p – 16:28 )

[quote:68d8ec07f0="Zahy"]Mert nyilvan nem az a kerdes, hogy a Kerioban hogy tudom megcsinalni, hanem "UNIX"-ban, leven ez itt a UNIX-kezdo.

ja jo. es hogyan tudod?

( zeller | 2005. 11. 18., p – 16:33 )

[quote:81c0b487af="snq-"][quote:81c0b487af="Zahy"]Mert nyilvan nem az a kerdes, hogy a Kerioban hogy tudom megcsinalni, hanem "UNIX"-ban, leven ez itt a UNIX-kezdo.

ja jo. es hogyan tudod?

Kerio-ban pl. c:\nemnetezhet\ez_a_progi.exe -re tudsz tiltani/engedni dolgokat (azaz egy copy után mehet is, ha nincs default deny policy felvéve...), UNIX-okon meg "az atól függ! (afrikai vagy európai fecskéé?))

( snq- | 2005. 11. 18., p – 17:20 )

[quote:3f710f4cbd="zeller"]pl. c:\nemnetezhet\ez_a_progi.exe -re tudsz tiltani/engedni dolgokat (azaz egy copy után mehet is

emiatt egy kicsit trukkosebb kicselezni:
[code:1:3f710f4cbd]
<variable name="Application">c:\nemnetezhet\ez_a_progi.exe</variable>
...
<variable name="Hash">C6CE6EEC82F187615D1002BB3BB50ED4</variable>
[/code:1:3f710f4cbd]

a default deny meg ugye mindenhol, mindben, mindenkor kotelezo....

( axt v | 2005. 11. 18., p – 19:19 )

Van egy tsocks nevu csomag! Arra jo, hogy az osszes socketes hívást lecseréli úgy, hogy socks-proxyn keresztül menjen! Na most ha nem letezo socks proxyt adsz meg akkor feltetelezem, hogy olyan mintha nem latna a netet.

[code:1:d581e8402f]tsocks program_neve_amit_futtatni_akarsz[/code:1:d581e8402f]

Ez csak tipp, volt, de probald ki ha gondolod ...

Ha jol ertettem az a celod, hogy te tudd ugy futtatni , hogy ne lasson netet! Ha persze vedekezni akarsz, hogy senki ne tudja nettel inditani, akkor ez nem jo megoldas, de lehet egyebkent sem :)!

Udv: axt

( zeller | 2005. 11. 18., p – 19:51 )

[quote:838aab97d8="snq-"][quote:838aab97d8="zeller"]pl. c:\nemnetezhet\ez_a_progi.exe -re tudsz tiltani/engedni dolgokat (azaz egy copy után mehet is

emiatt egy kicsit trukkosebb kicselezni:
[code:1:838aab97d8]
<variable name="Application">c:\nemnetezhet\ez_a_progi.exe</variable>
...
<variable name="Hash">C6CE6EEC82F187615D1002BB3BB50ED4</variable>
[/code:1:838aab97d8]

a default deny meg ugye mindenhol, mindben, mindenkor kotelezo....

Így teljes, ahogy tippelem, a hash nem csak a fájl, hanem az útvonalra is vonatkozik... No, valami ilyen köllöne Linuxra is...

( snq- | 2005. 11. 18., p – 20:11 )

[quote:52c554873b="zeller"]ahogy tippelem, a hash nem csak a fájl, hanem az útvonalra is vonatkozik

nevre es utvonalra sztem felesleges lenne (redundans info), ez magara az exe image-re vonatkozik

( bubusoft | 2005. 11. 18., p – 09:55 )

Hali!

Szeretném a segítségetek kérni abban, hogy hogyan lehet megoldani azt hogy egy adott progi nem tudjon internetet használni linux alatt! Több progi is így ellenőrzi a legalitását, azaz nem warez-e a szoftver! vmi féle tűzfal beállítással meg lehet e oldani, hogy nem tudjon egy progi kifelé kommunikálni a netre???

segítségeteke előre is köszönöm!

( gsimon | 2005. 11. 18., p – 10:25 )

Iptables/netfilter, owner match, --cmd-owner opció.

( bubusoft | 2005. 11. 18., p – 10:48 )

huh, tudnál nekem egy példát írni mert ez nekem így sajna nagyon kínai, mondjuk tegyük fel hogy az operát nem akarom kiengedni a netre! sorry hogy ilyen értetlen vagyok, de nem véletlenül írtam a kezdő fórumba!

( Celtic v | 2005. 11. 18., p – 10:51 )

Nekem a DOoom3 kommunikalt regisztraciokor. Tuzfal-logolast bekapcsoltam (hmm, nem tudja valaki, hogy lehet bekapcsolni, hogy _csak bizonyos_ feltetelt monitorozzon? Azonkivul, hogy ennek az egy feltetelnek irok egy kulon lancot, amibe beteszem a logot...Sajnos, az eredeti LOG csak anynit enged, hogy mennyi idonkent irjon a logba :(
Teszem azt, van egy keresem az ssh portra, es kulon szabalyt allitottam az ssh-n belul, ha x.y.z.y geprol jon, akkor mondjuk ne engedje. En a tobbi ssh-t nem szeretnem logolni, csak ezt az egyet, van ra valami mod?

Jaigen, nalam a doom3 letiltas a kovetkezo:
[0:0] -A block -d 192.246.40.185 -p tcp -m tcp -j DROP
De ehhez tobb meganyi logot kellett atneznem, amit egy perc alatt gyartott :(

( gsimon | 2005. 11. 18., p – 11:11 )

[quote:2a5e8f66b3="bubusoft"]tudnál nekem egy példát írni

Természetesen. Én itt az 'nc' nevű programot (netcat, egy kis tcp hálózati segédkütyü) szűrtem ki:
[code:1:2a5e8f66b3]
chaos:~# iptables -t filter -A OUTPUT -m owner --cmd-owner nc -j REJECT
chaos:~# nc intra 80
intra: forward host lookup failed: Host name lookup failure : Resource temporarily unavailable
[/code:1:2a5e8f66b3]
Aztán engedélyeztem vissza:
[code:1:2a5e8f66b3]
chaos:~# iptables -t filter -F OUTPUT
chaos:~# nc intra 80
GET / HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 18 Nov 2005 09:59:36 GMT
Server: Apache/1.3.33 (Debian GNU/Linux) PHP/4.3.10-15 mod_ssl/2.8.22 OpenSSL/0.9.7d
Last-Modified: Fri, 10 May 2002 10:33:46 GMT
Accept-Ranges: bytes
Content-Length: 123
Connection: close
Content-Type: text/html

<pre>
</pre>
[/code:1:2a5e8f66b3]
Ez viszont természetesen csak helyi gépen lehetséges, mert egy tűzfal semmiképp sem tudhatja, hogy a mögötte lévő kliensen milyen nevű program forgalmaz a kapcsolaton.
Emellett a kernel-ben be kell fordítva lennie a netfilter támogatásnak és azon belül az owner match-nek is. Ha a fenti parancs nem működik, akkor írj, és megoldjuk, csak fölöslegesen nem akarom most bonyolítani a dolgot.

( zsirfeka | 2005. 11. 18., p – 11:14 )

[quote:fe6d6f83d7="gsimon"]Ez viszont természetesen csak helyi gépen lehetséges, mert egy tűzfal semmiképp sem tudhatja, hogy a mögötte lévő kliensen milyen nevű program forgalmaz a kapcsolaton.
Emellett a kernel-ben be kell fordítva lennie a netfilter támogatásnak és azon belül az owner match-nek is. Ha a fenti parancs nem működik, akkor írj, és megoldjuk, csak fölöslegesen nem akarom most bonyolítani a dolgot.

de tudhatna, csak a nagy linux enterspajzba' erre nincs szukseg, ahogy ezt mar tobben ki is fejtettek :D

( vakangyal | 2005. 11. 18., p – 11:23 )

haly
a quake4 igy indulna például:
./quake4 +set net_master0 "localhost"

( bubusoft | 2005. 11. 18., p – 11:33 )

nagyon nagy THX mindenkinek! átrágom magam a dolgokon! THX!!!!!

( gsimon | 2005. 11. 18., p – 11:34 )

[quote:4bb2925341="zsirfeka"][quote:4bb2925341="gsimon"]...egy tűzfal semmiképp sem tudhatja, hogy a mögötte lévő kliensen milyen nevű program forgalmaz a kapcsolaton

de tudhatna, csak a nagy linux enterspajzba' erre nincs szukseg, ahogy ezt mar tobben ki is fejtettek :D

Ja. Gondolom, az ip fejlécbe be lehetne írni, aztán hasonlóan a usernevet, user id-t, a user édesanyjának leánykori e-mail címét, az egér gyártási dátumát meg a rendszergazda kedvenc sörmárkáját, és végre elkezdődne a megabyte-os pingek korszaka :). Azért valljuk be, elég ritkán kell alkalmazásnévre szűrni, meg aztán a symlink feltalálása óta csak kétféle ember tudja átverni: boldog és boldogtalan :).
De pár szinttel fentebb nem valami hasonlót akart elérni az ident is?

( zsirfeka | 2005. 11. 18., p – 11:46 )

[quote:7a8eb34bff="gsimon"]Ja. Gondolom, az ip fejlécbe be lehetne írni, aztán hasonlóan a usernevet, user id-t, a user édesanyjának leánykori e-mail címét, az egér gyártási dátumát meg a rendszergazda kedvenc sörmárkáját, és végre elkezdődne a megabyte-os pingek korszaka :). Azért valljuk be, elég ritkán kell alkalmazásnévre szűrni, meg aztán a symlink feltalálása óta csak kétféle ember tudja átverni: boldog és boldogtalan :).
De pár szinttel fentebb nem valami hasonlót akart elérni az ident is?

nem pont erre gondoltam, de annyi baj legyen :-)
az ident meg a kapcsolathoz tartozo user azonositasat szolgalta.

( wolphie | 2005. 11. 18., p – 13:08 )

[code:1:d2dd044bf5]
chaos:~# iptables -t filter -A OUTPUT -m owner --cmd-owner nc -j REJECT
[/code:1:d2dd044bf5]
Na ez az amit nem sokaig fogsz elvezni. Vagy az elso kernel szetborulasig, vagy jo esetben az elso frissitesig ;) (kiszedtek az --cmd-owner matchet, locking problema miatt). Uid-ra viszont meg tovabbra is lehet szurni, tehat kulon juzerkent kell futtatni, es azt szurni.

( snq- | 2005. 11. 18., p – 13:23 )

[quote:345ac7709b="bubusoft"]Szeretném a segítségetek kérni abban, hogy hogyan lehet megoldani azt hogy egy adott progi nem tudjon internetet használni linux alatt!

persze. futtass windowst vmware playerben, es hasznalj rajta keriofwt/jeticofwt/tucat mast, ami x eve tudja ezt.

( gsimon | 2005. 11. 18., p – 13:27 )

[quote:a68326f50a="wolphie"]kiszedtek az --cmd-owner matchet

A --pid-owner még megvan? Kicsit körülményesebben, de azzal is meg lehetne csinálni.

( wolphie | 2005. 11. 18., p – 13:40 )

[quote:f79362ed32="gsimon"]
A --pid-owner még megvan? Kicsit körülményesebben, de azzal is meg lehetne csinálni.

Nincs, uid/gid maradt.