Pavel Volkov <sailor@lists.xtsubasa.org> wrote: > Хочу странного. Да нет, идея звучит очень здраво. Но на всякий случай спрошу: > Как вы думаете, можно ли добиться, чтобы пакеты, генерируемые избранными процессами, например Firefox, содержали в заголовке определённое значение TOS? По этому признаку я хочу заворачивать их в VPN-интерфейс на роутере. SOCKS proxy не проще настроить, не? Или у вас процессы недоверенные? Ну тогда можно в сочетании с мандатным контролем — чтобы никуда, кроме него, не подключались (остается, правда, проблема с утечками DNS). > Может быть при запуске этих процессов как-то менять им GID? Но я бы хотел, чтобы создаваемые ими файлы всё-таки имели исходный GID. В любом случае, что тогда точно не подходит, то это смена GID — процесс ведь вправе поменять группу на основную для пользователя. Тут нужна какая-то изоляция. Под описанное решение — подмена ToS Нетфильтром, подходят cgroups, свойство зовется net_cls.classid.
Attachment:
signature.asc
Description: PGP signature