Repository 32bit  Forum
Repository 64bit  Wiki

iptables: bloccare applicazione

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

iptables: bloccare applicazione

Messaggioda Lean » sab gen 06, 2007 10:10

hola a todos!
Una domanda: è possibile con iptables (o con qualcos'altro) impedire che un'applicazione possa accedere ad internet?
Grazie!
Avatar utente
Lean
Linux 2.6
Linux 2.6
 
Messaggi: 799
Iscritto il: ven mar 18, 2005 0:00
Località: Modena - Messina
Slackware: 12.1
Kernel: 2.6.24.5-smp
Desktop: KDE 3.5.9

Messaggioda kio341 » sab gen 06, 2007 15:03

Avatar utente
kio341
Linux 2.4
Linux 2.4
 
Messaggi: 255
Iscritto il: gio gen 27, 2005 0:00
Località: ROMA

Messaggioda Lean » sab gen 06, 2007 16:19

ummm non è quello che mi serve
in pratica vorrei qualcosa che facesse in modo che (supponiamo) mia_applicazione.sh non acceda ad internet qualora del codice al suo interno la forzi a farlo.
Avatar utente
Lean
Linux 2.6
Linux 2.6
 
Messaggi: 799
Iscritto il: ven mar 18, 2005 0:00
Località: Modena - Messina
Slackware: 12.1
Kernel: 2.6.24.5-smp
Desktop: KDE 3.5.9

Messaggioda kobaiachi » sab gen 06, 2007 16:44

nel caso banale in cui tale applicazione lasciasse un marker all interno del pacchetto inviato basterebbe bloccare tutti i pacchetti con quel marker .

se l'applicazione usa dei protocolli particolari basta bloccare quel tipo di protocollo ,

in questi casi potresti usare ip tables che puo arrivare a bloccare fino ai protocolli di 7 livello.

di difficile risoluzione è invece se l'applicazione in oggetto non lascia marker particolari nei pacchetti inviati .

ad esempio se dovessi bloccare il traffico voip generato da applicazione X e lasciare passare quello di applicazione Y nel caso in cui sia x che y usino gli stessi protocolli io attualmente non saprei come fare !!
kobaiachi
Linux 3.x
Linux 3.x
 
Messaggi: 1368
Iscritto il: mer lug 13, 2005 23:00
Località: roma

Messaggioda Lean » sab gen 06, 2007 16:57

ad esempio se dovessi bloccare il traffico voip generato da applicazione X e lasciare passare quello di applicazione Y nel caso in cui sia x che y usino gli stessi protocolli io attualmente non saprei come fare !!

esatto kobaiachi! proprio qualcosa del genere... fosse stato il semplice blocco dei pacchetti con un determinato marker non sarebbe stato molto complicato...
Avatar utente
Lean
Linux 2.6
Linux 2.6
 
Messaggi: 799
Iscritto il: ven mar 18, 2005 0:00
Località: Modena - Messina
Slackware: 12.1
Kernel: 2.6.24.5-smp
Desktop: KDE 3.5.9

Messaggioda kobaiachi » sab gen 06, 2007 17:44

comunque se le applicazioni X ed Y usano delle porte "fisse e note" la risoluzione del problema è semplice (basta bloccare la coppia/le coppie ip-porta)
diventa molto piu complesso se non si sa a priori che porta utilizzera il software
o se questo software si adatta alla configurazione della rete e del firewall decidendo di volta in volta quali porte di trasmissione /ricezione usare .

l'unica cosa che mi viene in mente è di bloccare sugli host i pacchetti di rete generati dal processo di applicazione X .

dovresti scrivere un software che tiene d'occhio i processi attivi sulla macchina e quando vede che un processo non autorizzato sta passando un pacchetto allo stack tcp dirotti il flusso dati mandandolo in /dev/null o una roba simile .
kobaiachi
Linux 3.x
Linux 3.x
 
Messaggi: 1368
Iscritto il: mer lug 13, 2005 23:00
Località: roma

Messaggioda masalapianta » dom gen 07, 2007 21:39

si, e' possibile usando il modulo owner di iptables (puoi matchare pacchetti generati da un'applicazione basandoti sui suoi: uid del owner, gid, pid, sid e nome dell'applicazione)
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda Lean » lun gen 08, 2007 13:11

grazie mille!
ho provato con
Codice: Seleziona tutto
iptables -A OUTPUT -m owner --cmd-owner mia_applicazione -j DROP

ma mi dà il seguente errore:
iptables: Unknown error 4294967295
Avatar utente
Lean
Linux 2.6
Linux 2.6
 
Messaggi: 799
Iscritto il: ven mar 18, 2005 0:00
Località: Modena - Messina
Slackware: 12.1
Kernel: 2.6.24.5-smp
Desktop: KDE 3.5.9

Messaggioda masalapianta » ven gen 19, 2007 11:57

la sintassi e' corretta, hai verificato di aver abilitato nel kernel ipt_owner ?
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Yahoo [Bot] e 1 ospite