hi leute
ich habe eine frage, die wie ich sehe doch schon mehrfach angesprochen worden ist, nur leider habe ich keine auf mein problem passende antwort gefunden. es geht (vorerst) um das sperren des internetzugriffes einzelner programme.
folgende datei habe ich angelegt und ausführbar gemacht: name: testinet.sh inhalt: ping www.google.de
dann habe ich eine neue gruppe erstellt ("noinet") mit der gid 1011. dies habe ich der datei zugewiesen: sudo chgrp noinet testinet.sh sudo chmod g+s testinet.sh
und eine regel in den iptables verfasst: sudo iptables -A OUTPUT -t filter -o eth+ -m owner --gid-owner 1011 -j DROP
nach dem starten des skriptes konnte es noch immer auf www.google.de zugreifen, habe ich etwas übersehn, oder wieso werden die pakete weitergeleitet?
–-
der zweite ansatz lief über das anfd-skript (hier aus dem forum/wiki):
die ober erzeugte datei dient hier wieder als test. in der anfd.conf wurde folgender eintrag gemacht: testinet.sh *
nach dem starten von anfd (sudo anfd -D) schreibt dieses: Load config file: testinet.sh can not pass by default Done
allerdings kann testinet.sh auf google zugreifen (also genauso wie im ersten versuch).
Packet arrived: parse: IP-Version: 4 Protocol: UDP Dest-IP: 192.168.2.1 Dest-Port: 53 Path: /bin/ping cmdLine: pingwww.google.de checking rules...: can pass Done
–-
dabei ist mir jedoch aufgefallen dass das paket ja an den router gesendet wird, also habe ich den zugriff auf diesen explizit untersagt (eintrag in der anfd.conf: "testinet.sh 192.168.2.1") leider ohne erfolg.
–-
dann habe ich eine zeile zu der anfd.conf hinzugefügt ("ping *"), die zwar das gebracht hat dass ich wollte, jedoch zu einem hohen preis: ich konnte auch per hand kein ping mehr starten.
meine frage ist, was habe ich falsch gemacht oder übersehen? wieso geht das nicht? und wenn es bei diesem beispiel schon nicht geht, wie soll es dann erst in "echten" programmen oder skripten gehen?
und zum zweiten teil des problems: letztendlich soll das alles darauf rauslaufen, ein komplettes paket den internetzugriff zu verweigern. damit meine ich, dass ein programm das installiert wird und mehrere ausführbare dateien erzeugt, das all diese dateien dieser sperre unterliegen. wie kann man das verwirklichen, herauszufinden welche solchen dateien wo alles erzeugt wurden und sie dann zu sperren, kann man etwas auf das paket anwenden, zum beispiel die gruppe des pakets ändern, und alle erzeugten dateien tragen die selbe gruppe, und wie kann ich dann (wie im ersten versuch) das internet sperren?
vielen vielen dank für eure geduld .... ich weiß es ist viel, aber mir wichtig, deswegen DANKE