Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: iptables и cgroup  (Прочитано 929 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн veranyon

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
iptables и cgroup
« : 05 Май 2015, 16:52:03 »
iptables -A OUTPUT -m cgroup --cgroup 42 -j DROP

iptables v1.4.12: Couldn't load match `cgroup':No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

Ubuntu Server 12.0.4

Можно конечно собрать iptables с нуля, но может я не до конца понимаю "философию Ubuntu"? cgroup в ядре включено. В iptables - нет.

Оффлайн arch!ver

  • Забанен
  • Старожил
  • *
  • Сообщений: 1260
    • Просмотр профиля
Re: iptables и cgroup
« Ответ #1 : 05 Май 2015, 17:52:23 »
veranyon,
iptables - вообще пока ещё сырое поделие, а большинство манов по сети на его тему - очень вяло соответствует действительности...
Я пробовал настраивать в 10,11 - ничем хорошим это не увенчалось... А вот стоило только запустить пару комманд:
ufw enable
и
ufw default deny
как всё тут же достаточно неплохо заработало, - например pcflank не нашёл ни одного открытого  и незащищённого порта...
после этого я для себя сделал откровенно очевидные и правильные выводы - что сложное и наворочанное это вовсе не обязательно означает что оно правильное, гибкое и работоспособное - оно просто и буквально, - сложное и наворочанное ;) - плюс если ещё учесть то, что все маны по этой тематике дрянь, - то тут однозначно полно хгэ получается ;D...

кстати ufw - принимает синтаксис iptables... можете хоть таким способом повтыкать правил своих в него... только проверить потом не забудте...

не до конца понимаю "философию Ubuntu"?
А сама философия Ubuntu - она ещё, - не до конца  ;D ... если попытаться сформулировать, то получится что то типа "мы в процессе", или голосом телефонной дамы - "ждитте отетта"  ;)
« Последнее редактирование: 05 Май 2015, 20:33:43 от archiver »
Шизофреник админ, - горе в семье...

Оффлайн veranyon

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Re: iptables и cgroup
« Ответ #2 : 05 Май 2015, 18:13:09 »
Хорошо. как тогда при помощи "ufw" заблокировать определенному процессу доступ в сеть?
Уточнюсь что ли - не программе, которую я запускаю (родителю), а процессу. Процессом может быть и потомок программы уникальный.
скажем, несколько rtmpdump процесов, доступ одному из которых нужно заблокировать в сеть. не убить такой процесс, а именно заблокировать доступ в сеть.
Эти процессы могут работать с одним портом, с одним ip и от одного и того же юзера. В гугле все забито ufw&ports ака желтопрессное инфо (извиняюсь).

##
Вопрос про пакет iptables и выбор (что делать) с проблемой поддержки cgroup пока в силе.
« Последнее редактирование: 05 Май 2015, 18:34:34 от veranyon »

Оффлайн arch!ver

  • Забанен
  • Старожил
  • *
  • Сообщений: 1260
    • Просмотр профиля
Re: iptables и cgroup
« Ответ #3 : 05 Май 2015, 20:32:09 »
veranyon,
Точно так же - состряпать строку как для iptables - и скормить её uwf - он же тоже является в некотором роде оболочкой для того же iptables...
Надо поизучать процесс, посмотреть какие порты он использует и позатыкать их как на вход так и на выход для определённого диапазона ip, который потенциально может использовать этот процесс...
Это теория, ну а на практике не подскажу вам как именно это сделать, увы - мои тягания с iptables были мягко сказать не очень удачны...
Ждите ответов от других пользователей...
« Последнее редактирование: 05 Май 2015, 20:34:37 от archiver »
Шизофреник админ, - горе в семье...

Оффлайн veranyon

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Re: iptables и cgroup
« Ответ #4 : 05 Май 2015, 20:46:21 »
целевой порт и ip у разных процессов может быть одинаков. как пример, tcpdump.. лишь разные хвосты у домена. можно завернуть в сквид, но не всегда. поентому и мысль - бить по pid. но не убивать такой pid, а именно глушить соединение. (иногда не есть хорошо глушить выборочно наследуемые процессы. душишь соединение - более щадящий вариант). ну вот условия такие. долго рассказывать.
в общем, целевой порт и ип могут быть одинаковыми у разных процессов, а придушить доступ нужно лишь выборочно.

Оффлайн arch!ver

  • Забанен
  • Старожил
  • *
  • Сообщений: 1260
    • Просмотр профиля
Re: iptables и cgroup
« Ответ #5 : 05 Май 2015, 20:57:51 »
veranyon,
Тогда это "ювелирная задача" - лучше дождитесь ответов от тех пользователей, кто на порядок лучше понимает эту тему...
Я например не совсем уверен в том что это вообще возможно средствами разного рода фильтров, - тут скорее либо скрипт нужен, либо цельная программулина...
« Последнее редактирование: 05 Май 2015, 21:04:31 от archiver »
Шизофреник админ, - горе в семье...

Оффлайн veranyon

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Re: iptables и cgroup
« Ответ #6 : 06 Май 2015, 01:46:45 »
да, как бы ничего сверх. mkdir /sys/fs/cgroup/net_cls/block
echo 42 > /sys/fs/cgroup/net_cls/block/net_cls.classid

iptables -A OUTPUT -m cgroup --cgroup 42 -j DROP

echo [pid] > /sys/fs/cgroup/net_cls/block/tasks

Примерно так. Ну, modprobe cls_cgroup еще и еще по мелочи.
Но с iptables облом. Скомпилить-то его скомпилю, но как-то не комильфо, ибо пакетный дистр. И не просто пакетный, а Дебиано-образный) где вообще все как бы из пакетов и пакетами должно погоняться. гибко быть что ли. стремно чего-то собирать.
вон уже напоролся.
iptables-20150505$ ./configure
... ok
iptables-20150505$ make
...
../iptables/nft-shared.h:6:27: fatal error: libnftnl/rule.h: No such file or directory
compilation terminated.
make[2]: *** [libebt_limit.oo] Error 1
make[2]: Leaving directory `/home/iron/1/tmp/iptables/iptables-20150505/extensions'
make[1]: *** [all-recursive] Error 1
make[1]: Leaving directory `/home/iron/1/tmp/iptables/iptables-20150505'
make: *** [all] Error 2
уже обыскался эту libnftnl. подрубать какой-то левый реп для libnftnl-dev что ли..
« Последнее редактирование: 06 Май 2015, 01:49:14 от veranyon »

Оффлайн Protopopulus

  • Старожил
  • *
  • Сообщений: 1687
  • А чего вы так смотрите?..
    • Просмотр профиля
Re: iptables и cgroup
« Ответ #7 : 06 Май 2015, 04:31:32 »
тут скорее либо скрипт нужен, либо цельная программулина...
Так-то, вешать на фаервол такую задачу вообще не комильфо, имхо, ибо фильтрация трафика и ограничение возможностей программ - задачи из разных областей.

Автор, если надо "не пущать" конкретную программу в сеть, то самый простой и, как я думаю, правильный вариант - apparmor (для Ubuntu). Достаточно разрешить программе лишь необходимое для работы и, конечно же, не разрешать сетевых подключений.

(Нажмите, чтобы показать/скрыть)
Если ты владеешь знаниями, то и знания владеют тобой. (с) Protopopulus

Оффлайн veranyon

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Re: iptables и cgroup
« Ответ #8 : 06 Май 2015, 10:44:00 »
А через apparmor точно можно заблокировать доступ лишь к опр. процессу, а не всей программе? на лету?

Оффлайн Protopopulus

  • Старожил
  • *
  • Сообщений: 1687
  • А чего вы так смотрите?..
    • Просмотр профиля
Re: iptables и cgroup
« Ответ #9 : 06 Май 2015, 18:55:19 »
veranyon, можно подробнее? Какова задача в целом и в подробностях, для чего это нужно? Просто я с великим трудом представляю себе как и для чего можно использовать урезание сети конкретному процессу... :idiot2:
Если ты владеешь знаниями, то и знания владеют тобой. (с) Protopopulus

Оффлайн arch!ver

  • Забанен
  • Старожил
  • *
  • Сообщений: 1260
    • Просмотр профиля
Re: iptables и cgroup
« Ответ #10 : 06 Май 2015, 20:36:36 »
Protopopulus,
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 06 Май 2015, 20:47:38 от archiver »
Шизофреник админ, - горе в семье...

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: iptables и cgroup
« Ответ #11 : 07 Май 2015, 12:40:51 »
(Нажмите, чтобы показать/скрыть)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн arch!ver

  • Забанен
  • Старожил
  • *
  • Сообщений: 1260
    • Просмотр профиля
Re: iptables и cgroup
« Ответ #12 : 07 Май 2015, 21:06:48 »
fisher74,
Нет не пересекался пока - не приходилось... Но верю на все 100%, заведомо и искренее  ;D
Шизофреник админ, - горе в семье...

 

Страница сгенерирована за 0.088 секунд. Запросов: 24.