Я думаю, что не существует решения iptables / pf, позволяющего разрешить использование приложения XY, например, на исходящем tcp порту 80, eth0. Итак, если у меня есть идентификатор пользователя: «500», то как я могу заблокировать любые другие соединения, кроме упомянутых на порту 80 / outbound / tcp / eth0? (например: просто privoxy использует порт 80 на eth0)
Дополнительно: virtualbox тоже использует порт 80? когда браузер на гостевой ОС посещает сайт .. как это объявить? - установка обычного пользователя будет слишком большой дырой
8
Ответы:
Вот
iptables
команда, чтобы разрешить определенныйuid
через определенный порт.со страницы руководства
что касается virtualbox ... Я полагаю, что он запускает свое собственное ядро ... так что вы можете использовать
--uid-owner
virtualbox на операционной системе хоста, но затем иметь--uid-owner
правило владельца на виртуальной машине.Также может быть полезно отметить, что она
--gid-owner
также существует, и вы можете создать группуbrowser
иsgid
приложения для браузера, чтобы она работала с эффективной группой,browser
и затем в эту группу были включены только пользователи, которых вы хотите просматривать ... это не будет идеальное решение ... но большинство пользователей не будут пытаться запускать какие-либо другие приложения в этой группе, поэтому, как я полагаю, обычно ограничивают исходящие для этого приложения. Я не пробовал это, поэтому я не на 100%, что это будет работать, как я описал.источник