Re: iptables & mozilla
On Fri, 23 Apr 2004 20:09:18 +0700
"Yury A. Yurevich" <captyure@ngs.ru> wrote:
> Было дело, что Mon, 19 Apr 2004 12:27:01 +0400
> Gerasimov писал(а):
>
> > > 1) iptables не контролирует от какой программы пришел пакет, т.к.
> > > он принимает решение о пропускании/блокировании/... на основе
> > > данных из заголовка, а не из содержимого пакета.
> > не правда Ваша - таблес умеет понимать от какой программы пришел
> > пакет.
> поясните примером, плз., в данном случае: пакет от mozilla
хинт:
--- выдержка из руководства по IPTABLES
6.4.3.5. Критерий Owner
Расширение owner предназначено для проверки "владельца" пакета.
Изначально данное расширение было написано как пример демонстрации
возможностей iptables. Допускается использовать этот критерий только в
цепочке OUTPUT. Такое ограничение наложено потому, что на сегодняшний
день нет реального механизма передачи информации о "владельце" по сети.
Справедливости ради следует отметить, что для некоторых пакетов
невозможно определить "владельца" в этой цепочке. К такого рода пакетам
относятся различные ICMP responses. Поэтому не следует применять этот
критерий к ICMP responses пакетам.
---
а вот и работающее правило
--- начало сценария
#!/bin/bash
#
# pid-owner.txt - Example rule on how the pid-owner match could be used.
#
# Copyright (C) 2001 Oskar Andreasson <bluefluxATkoffeinDOTnet>
#
# This program is free software; you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation; version 2 of the License.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program or from the site that you downloaded it
# from; if not, write to the Free Software Foundation, Inc., 59 Temple
# Place, Suite 330, Boston, MA 02111-1307 USA
#
PID=`ps aux |grep mozilla |head -n 1 |cut -b 10-14`
iptables -A OUTPUT -p TCP -m owner --pid-owner $PID -j ACCEPT
--- окончание сценария ---
p.s. я этот путь для вашей цели верным не считаю. есть масса более
приятных и умных решении. ИМХО.
--
Dmitry Gerasimov
matrix AT podlipki DOT ru
icq: 26277841
jid: q2digger AT jabber.ru
Reply to: