вопрос по iptables -m owner
hedgeven 27 июня, 2010 - 18:28
читал(например тут http://www.gentoo.ru/node/3054), что команды --cmd-owner --pid-owner выпилили из модуля owner. но тема старая, может что-то изменилось с тех пор?
как сейчас в iptables фильтровать траффик по pid или cmd?
в man iptables тоже ничего про эти команды нет, только про gid и uid.
и да, на всякий случай:
$ uname -r 2.6.33-zen2
$ zgrep OWNER /proc/config.gz CONFIG_MUTEX_SPIN_ON_OWNER=y CONFIG_NETFILTER_XT_MATCH_OWNER=m
$ sudo iptables --version iptables v1.4.8
»
- Для комментирования войдите или зарегистрируйтесь
молчание значит, что нет
молчание значит, что нет решения?
или вопрос тупой?
если я что-то упустил хоть ссылкой киньте...
Jah will give us everything
решения насколько я знаю нет.
решения насколько я знаю нет. выпилили давно, связано это, ИМХО, с тем, что на многоядерных системах --pid-owner, --sid-owner и --cmd-owner работали некорректно.
Так что - выделять под приложение отдельного юзера и использовать --uid-owner...
Нейтральность - высшее достижение сознания!
А можно пример идеи? Ну, на
А можно пример идеи?
Ну, на пальцах... :)
Делай, что должен, и будь, что будет.
Просто добавлю: права
Просто добавлю: права привязаны не к конкретному приложению от коего был запущен процесс с искомыми правами, а к сокету у которого енти права имеются. Так что вполне возможны ситуации что чужое приложение может воспользоваться этим сокетом. Так что строго следите за SUID и GID. Ну и естественно транзитный трафик здесь бессмысленно отфильтровывать.
спасибо за ответ. uid/gid
спасибо за ответ. uid/gid не удобно, но буду пробовать...
З.Ы. видел под Win фаервол для домохозяек под названием Kerio. он умеет определять p2p трафик, и применять к нему правила. жаль нет под linux таких инструментов.
Jah will give us everything
hedgeven написал(а): З.Ы.
Не оно?
И, соответственно:
* net-misc/l7-filter-userspace Available versions: (~)0.7 (~)0.8 (~)0.10 (~)0.11 Homepage: http://l7-filter.sourceforge.net Description: Userspace utilities for layer 7 iptables QoS * net-misc/l7-protocols Available versions: 2008.01.16 (~)2008.02.20 (~)2008.04.23 (~)2008.11.08 (~)2008.11.23 2008.12.18 (~)2009.05.10 (~)2009.05.28 Homepage: http://l7-filter.sourceforge.net/protocols Description: Protocol definitions of l7-filter kernel modulesЯ ♥ Gentoo & Funtoo
похоже то, что
похоже то, что нужно.
спасибо, буду разбираться.
Jah will give us everything
оно оно, только вот стоит
оно оно, только вот стоит очень внимательно прочитать
http://l7-filter.sourceforge.net/performance
потому что:
ну и http://l7-filter.sourceforge.net/protocols потому тчо далеко не всё хорошо определяется.
Вполне нормальные цифры
Вполне нормальные цифры, с учетом перегона __каждого__ пакета в юзерспейс и обратно
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
hedgeven написал(а):спасибо
есть вариант номер 2, работает во всей локалке, передает инфу об юзере и приложении, но требует селинух.
Искать по ключу CIPSO. Прочитайтакже вот это.
П.С Для крититков - селинух, кто не в курсе, в ванильном ядре
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
hedgeven написал(а): З.Ы.
Для определения p2p я когда-то использовал ipp2p
Правда сейчас зашел на их сайт - а проект больше не развивается, и ссылка на OpenDPI.org. Что это такое, я не в курсе.
Главное при пользовании ipp2p, да и других подобных вещей, не забывать, что p2p траффик определяется не сразу, а после прохождения нескольких пакетов. Я когда-то из-за этого много времени потратил :-)