Не работает правило в etc/hosts.allow

[Vasiliy_ZV]

У меня не работает правило в etc/hosts.allow такого типа

Запретить любой доступ ко всем доменам кроме перечисленных
ALL: ya.ru: ALLOW
ALL: ALL: DENY

[AnrDaemon]

Вообще-то hosts.allow контролирует доступ снаружи к системе, а не системы наружу…

[Vasiliy_ZV]

Вообще-то hosts.allow контролирует доступ снаружи к системе, а не системы наружу…

хорошо, а доступ из системы наружу где контролируется, где можно это прописать, причем, желательно применительно к конкретному пользователю системы?
спасибо

[fisher74]

Надеюсь, что я не открою Вам тайну, что любая задача может решаться разными способами.
А уж та задача, которую Вы ставите имеет ещё и много неизвестных.

Но сразу скажу, в Linux привязка пользователя к сетевому трафику весьма условна

[Vasiliy_ZV]

Надеюсь, что я не открою Вам тайну, что любая задача может решаться разными способами.
А уж та задача, которую Вы ставите имеет ещё и много неизвестных.
Но сразу скажу, в Linux привязка пользователя к сетевому трафику весьма условна

Способ решения задачи нужен самый простой. Привязка правила к пользователю не обязательна - отбрасываем (комп одно-user-ский). Необходимо обеспечить работу правила, действующего  из системы наружу: "Запретить доступ ко всем доменам кроме перечисленных" или наоборот "Разрешить доступ ко всем доменам кроме перечисленных".

[fisher74]

Неизвестных хоть и чуточку меньше, то всё равно критически много:

Доступ по какому протоколу(-ам)? Домены публичные или частные? Собственно это и к сети относится: объект в интЕрнете, в интрАнете или вообще в односегментной локальной сети(хотя, видимо, это отпадает по многочисленности доменов)?
продолжать лень. Ближе у универсальному, если это http-трафик - прокси с о своими acl-ами. Можно netfilter задействовать, но он не умеет работать с доменными именами...

[Eugene Nuke]

Файлы /etc/hosts.allow и /etc/hosts.allow используются программой tcpd (TCP-wrapper), обычно в скязке с сервисом inetd. Если вы не используете tcpd, то изменения в этих файлах ни к чему не приведут.

И да, для ограничения исходящего www-трафика проще будет использовать прокси с ограничениями по доменам. Так же нужно будет ограничить использование метода CONNECT для сайтов, работающих по протоколу https.

[AnrDaemon]

Eugene Nuke, сказать то что хотели?…

[Eugene Nuke]

Я хотел сказать что вряд ли человек использует tcpd и смысла править эти файлы - нет.

[Vasiliy_ZV]

Я хотел сказать что вряд ли человек использует tcpd и смысла править эти файлы - нет.

подскажите пож. по установке tcpd в 16.04 LTS (команда и т.п.),
интересно, возможно это самый простой путь решения задачи

[AnrDaemon]

Vasiliy_ZV, ничего он не подскажет, он сам не понимает, что несёт, просто копирует бред из гугла.

[Eugene Nuke]

Не нужен вам tcpd, это прошлый век и совсем не о том.
Ограничить конкретного пользователя от доступа к конкретным сайтам можно через прокси с авторизацией. Но вам придётся запускать прокси на отдельной машине.

Если забыть про конкретного пользователя, то самый простой вариант, добавить нужные домены в файл /etc/hosts с привязкой к 127.0.0.1. Просто, ничего не стирая добавьте нужные строки в конец /etc/hosts, вот вам пример:
 

Код: [Выделить]

127.0.0.1   ya.ru www.ya.ru yandex.ru www.yandex.ru
127.0.0.1   google.com
127.0.0.1   vk.com
127.0.0.1   vk.com www.vk.com
Тогда при попытке связаться с этими доменами вы попадёте на свою машину (которая сбросит соединение).

Запрещать доступ локальной машине к списку доменов через файервол (netfilter/iptables) очень не удобно, так как большие серфисы имеют пул серверов для одного доменного имени и их придётся вычислять всё или блокировать целыми  подсетями.

[AnrDaemon]

Формат файла hosts - одна строка на один адрес.
И это никак не поможет закрыть доступ от слова вообще.

[Eugene Nuke]

Я обычно троллям не отвечаю, но тут ты не прав вот, прям, совсем.

Пункт 1:

Код: [Выделить]

$ man 5 hosts
For each host a single line should be present with the following information:

              IP_address canonical_hostname [aliases...]

Fields of the entry are separated by any number of blanks and/or tab characters.
Пункт 2:
Привязка доменного имени удалённого хоста к loopback закроет доступ с локальной машины на удалённый хост по доменному имени совсем, потому-что политика по умолчанию: resolver поиск начинает с hosts

Код: [Выделить]

$ cat /etc/nsswitch.conf | grep hosts

hosts:          files mdns4_minimal [NOTFOUND=return] dns

[AnrDaemon]

Только для тех приложений, что полагаются на имена доменов и системный ресолвер.