Pagina 1 di 1

iptables: bloccare applicazione

Inviato: sab gen 06, 2007 10:10
da Lean
hola a todos!
Una domanda: è possibile con iptables (o con qualcos'altro) impedire che un'applicazione possa accedere ad internet?
Grazie!

Inviato: sab gen 06, 2007 15:03
da kio341

Inviato: sab gen 06, 2007 16:19
da Lean
ummm non è quello che mi serve
in pratica vorrei qualcosa che facesse in modo che (supponiamo) mia_applicazione.sh non acceda ad internet qualora del codice al suo interno la forzi a farlo.

Inviato: sab gen 06, 2007 16:44
da kobaiachi
nel caso banale in cui tale applicazione lasciasse un marker all interno del pacchetto inviato basterebbe bloccare tutti i pacchetti con quel marker .

se l'applicazione usa dei protocolli particolari basta bloccare quel tipo di protocollo ,

in questi casi potresti usare ip tables che puo arrivare a bloccare fino ai protocolli di 7 livello.

di difficile risoluzione è invece se l'applicazione in oggetto non lascia marker particolari nei pacchetti inviati .

ad esempio se dovessi bloccare il traffico voip generato da applicazione X e lasciare passare quello di applicazione Y nel caso in cui sia x che y usino gli stessi protocolli io attualmente non saprei come fare !!

Inviato: sab gen 06, 2007 16:57
da Lean
ad esempio se dovessi bloccare il traffico voip generato da applicazione X e lasciare passare quello di applicazione Y nel caso in cui sia x che y usino gli stessi protocolli io attualmente non saprei come fare !!

esatto kobaiachi! proprio qualcosa del genere... fosse stato il semplice blocco dei pacchetti con un determinato marker non sarebbe stato molto complicato...

Inviato: sab gen 06, 2007 17:44
da kobaiachi
comunque se le applicazioni X ed Y usano delle porte "fisse e note" la risoluzione del problema è semplice (basta bloccare la coppia/le coppie ip-porta)
diventa molto piu complesso se non si sa a priori che porta utilizzera il software
o se questo software si adatta alla configurazione della rete e del firewall decidendo di volta in volta quali porte di trasmissione /ricezione usare .

l'unica cosa che mi viene in mente è di bloccare sugli host i pacchetti di rete generati dal processo di applicazione X .

dovresti scrivere un software che tiene d'occhio i processi attivi sulla macchina e quando vede che un processo non autorizzato sta passando un pacchetto allo stack tcp dirotti il flusso dati mandandolo in /dev/null o una roba simile .

Inviato: dom gen 07, 2007 21:39
da masalapianta
si, e' possibile usando il modulo owner di iptables (puoi matchare pacchetti generati da un'applicazione basandoti sui suoi: uid del owner, gid, pid, sid e nome dell'applicazione)

Inviato: lun gen 08, 2007 13:11
da Lean
grazie mille!
ho provato con

Codice: Seleziona tutto

iptables -A OUTPUT -m owner --cmd-owner mia_applicazione -j DROP

ma mi dà il seguente errore:
iptables: Unknown error 4294967295

Inviato: ven gen 19, 2007 11:57
da masalapianta
la sintassi e' corretta, hai verificato di aver abilitato nel kernel ipt_owner ?