iptables и cgroup

[veranyon]

Код: [Выделить]

iptables -A OUTPUT -m cgroup --cgroup 42 -j DROP

iptables v1.4.12: Couldn't load match `cgroup':No such file or directory

Try `iptables -h' or 'iptables --help' for more information.
Ubuntu Server 12.0.4

Можно конечно собрать iptables с нуля, но может я не до конца понимаю "философию Ubuntu"? cgroup в ядре включено. В iptables - нет.

[arch!ver]

veranyon,
iptables - вообще пока ещё сырое поделие, а большинство манов по сети на его тему - очень вяло соответствует действительности...
Я пробовал настраивать в 10,11 - ничем хорошим это не увенчалось... А вот стоило только запустить пару комманд:

Код: [Выделить]

ufw enable
и
ufw default deny
как всё тут же достаточно неплохо заработало, - например pcflank не нашёл ни одного открытого  и незащищённого порта...
после этого я для себя сделал откровенно очевидные и правильные выводы - что сложное и наворочанное это вовсе не обязательно означает что оно правильное, гибкое и работоспособное - оно просто и буквально, - сложное и наворочанное - плюс если ещё учесть то, что все маны по этой тематике дрянь, - то тут однозначно полно хгэ получается ...

кстати ufw - принимает синтаксис iptables... можете хоть таким способом повтыкать правил своих в него... только проверить потом не забудте...

не до конца понимаю "философию Ubuntu"?

А сама философия Ubuntu - она ещё, - не до конца  ... если попытаться сформулировать, то получится что то типа "мы в процессе", или голосом телефонной дамы - "ждитте отетта" 

[veranyon]

Хорошо. как тогда при помощи "ufw" заблокировать определенному процессу доступ в сеть?
Уточнюсь что ли - не программе, которую я запускаю (родителю), а процессу. Процессом может быть и потомок программы уникальный.
скажем, несколько rtmpdump процесов, доступ одному из которых нужно заблокировать в сеть. не убить такой процесс, а именно заблокировать доступ в сеть.
Эти процессы могут работать с одним портом, с одним ip и от одного и того же юзера. В гугле все забито ufw&ports ака желтопрессное инфо (извиняюсь).

##
Вопрос про пакет iptables и выбор (что делать) с проблемой поддержки cgroup пока в силе.

[arch!ver]

veranyon,
Точно так же - состряпать строку как для iptables - и скормить её uwf - он же тоже является в некотором роде оболочкой для того же iptables...
Надо поизучать процесс, посмотреть какие порты он использует и позатыкать их как на вход так и на выход для определённого диапазона ip, который потенциально может использовать этот процесс...
Это теория, ну а на практике не подскажу вам как именно это сделать, увы - мои тягания с iptables были мягко сказать не очень удачны...
Ждите ответов от других пользователей...

[veranyon]

целевой порт и ip у разных процессов может быть одинаков. как пример, tcpdump.. лишь разные хвосты у домена. можно завернуть в сквид, но не всегда. поентому и мысль - бить по pid. но не убивать такой pid, а именно глушить соединение. (иногда не есть хорошо глушить выборочно наследуемые процессы. душишь соединение - более щадящий вариант). ну вот условия такие. долго рассказывать.
в общем, целевой порт и ип могут быть одинаковыми у разных процессов, а придушить доступ нужно лишь выборочно.

[arch!ver]

veranyon,
Тогда это "ювелирная задача" - лучше дождитесь ответов от тех пользователей, кто на порядок лучше понимает эту тему...
Я например не совсем уверен в том что это вообще возможно средствами разного рода фильтров, - тут скорее либо скрипт нужен, либо цельная программулина...

[veranyon]

да, как бы ничего сверх. mkdir /sys/fs/cgroup/net_cls/block
echo 42 > /sys/fs/cgroup/net_cls/block/net_cls.classid

iptables -A OUTPUT -m cgroup --cgroup 42 -j DROP

echo [pid] > /sys/fs/cgroup/net_cls/block/tasks

Примерно так. Ну, modprobe cls_cgroup еще и еще по мелочи.
Но с iptables облом. Скомпилить-то его скомпилю, но как-то не комильфо, ибо пакетный дистр. И не просто пакетный, а Дебиано-образный) где вообще все как бы из пакетов и пакетами должно погоняться. гибко быть что ли. стремно чего-то собирать.
вон уже напоролся.
iptables-20150505$ ./configure
... ok
iptables-20150505$ make
...
../iptables/nft-shared.h:6:27: fatal error: libnftnl/rule.h: No such file or directory
compilation terminated.
make[2]: *** [libebt_limit.oo] Error 1
make[2]: Leaving directory `/home/iron/1/tmp/iptables/iptables-20150505/extensions'
make[1]: *** [all-recursive] Error 1
make[1]: Leaving directory `/home/iron/1/tmp/iptables/iptables-20150505'
make: *** [all] Error 2
уже обыскался эту libnftnl. подрубать какой-то левый реп для libnftnl-dev что ли..

[Protopopulus]

тут скорее либо скрипт нужен, либо цельная программулина...

Так-то, вешать на фаервол такую задачу вообще не комильфо, имхо, ибо фильтрация трафика и ограничение возможностей программ - задачи из разных областей.

Автор, если надо "не пущать" конкретную программу в сеть, то самый простой и, как я думаю, правильный вариант - apparmor (для Ubuntu). Достаточно разрешить программе лишь необходимое для работы и, конечно же, не разрешать сетевых подключений.

(Нажмите, чтобы показать/скрыть)

iptables - вообще пока ещё сырое поделие, а большинство манов по сети на его тему - очень вяло соответствует действительности...
Я пробовал настраивать в 10,11 - ничем хорошим это не увенчалось... А вот стоило только запустить пару комманд...

Явное неосиляторство, мой друг

[veranyon]

А через apparmor точно можно заблокировать доступ лишь к опр. процессу, а не всей программе? на лету?

[Protopopulus]

veranyon, можно подробнее? Какова задача в целом и в подробностях, для чего это нужно? Просто я с великим трудом представляю себе как и для чего можно использовать урезание сети конкретному процессу...

[arch!ver]

Protopopulus,

(Нажмите, чтобы показать/скрыть)

Явное неосиляторство, мой друг

Вот абсолютно с вами согласен, - iptables - полное неосиляторство - понторез от ковыряльщиков, решивших от души кинуть стрёмные понты перед начальным юзерством 
Надеясь что найдутся таки в мире психиатры, которые методом психоанализа вникнут наконец в глубинные и одинокие подсознаяния их творческой шизофрении... Даже маннов приличных выпустить не удосужились - половина из них - просто для устаревших версий и дистрибутивов и малоактуальны
Я в свою очередь знаю точно - что любое более или менее приличное поделие - должно иметь приличную документацию, чтобы любой лох, при достаточных для изучения всего этого умственных затратах, мог осилить это "великолепное" ковыряние "ну очень продвинутых" гениев...
В противном случае - если даже документации приличной толком нету, тем более уж на русском языке - то это шнягу категорично и оправдано можно отнести к поделиям китайского красного рынка, где искуссно ваяют такие архинеподражаемые по гениальности вещи, как paVasonic и aBiBas

[fisher74]

(Нажмите, чтобы показать/скрыть)

iptables - полное неосиляторство - понторез от ковыряльщиков, решивших от души кинуть стрёмные понты перед начальным юзерством 

Это Вы ещё с цисковскими асами и пиксами не пересекались... да и в роутерных ios-ах иногда можно заблудиться

[arch!ver]

fisher74,
Нет не пересекался пока - не приходилось... Но верю на все 100%, заведомо и искренее