На данный момент (январь 2017 г.), похоже, нет фактического решения. Эта тема довольно подробно обсуждалась в этом посте Реализовать изоляцию X11 - не уверен, что с тех пор что-то было дальше.
firejail
возвращает следующую ошибку с устройством tun - net
, а не то, с чем обычно сталкивается виртуальная машина:
Error: the software is not supported for /31 networks
TAP-интерфейс может быть подключен, существуют TAP-VPN. там ( ibVPN для одного, я думаю).
Я реализовал прокси-сервер ssh forwarding (socks) на основе инструкций, приведенных в этой статье Firejail с Tor HOWTO .
См. Этот пост также о настройке HTTP-прокси перенаправления трафика с моста на HTTP-прокси .
Редактировать 17 февраля '17:
Интеграция OpenVPN https://github.com/netblue30/firejail/issues/59
Ваша интерпретация верна.
Если вы хотите, чтобы все это также применялось к пакетам UDP, вам нужно снова добавить тот же набор правил, но с -p udp
вместо -p tcp
. Или просто оставьте эту опцию и примените правила ко всем пакетам (хотя с пакетами ICMP могут быть некоторые подводные камни, поэтому, вероятно, безопаснее просто добавить оба типа правил). Однако для доступа к в первую очередь потребуется TCP, например Youtube, поэтому даже если для потоковой передачи с Youtube использовался UDP, вы не смогли бы смотреть поток, потому что вы никогда не дойдете до этого.
Параметр -m
выбирает, какой тип соответствия использовать. Вы можете сопоставить множество различных критериев, и есть даже расширения для iptables ( man iptables-extensions
) с даже соответствующими модулями. Здесь -m owner
выбирает совпадение по владению пакетами, а - gid-owner
указывает совпадение по владению группой. Таким образом, оба варианта вместе означают, что «это правило применяется только к пакетам, отправленным кем-то из группы internet
».
Параметр -j
(изначально «прыжок») указывает, что делать, когда правило совпадает. Вы можете перейти к другой цепочке, или вы можете ACCEPT
(остановить правила обработки и отправить этот пакет), или вы можете REJECT
(остановить правила обработки и проигнорировать этот пакет).
Следующие два правила разрешают пакеты ( ACCEPT
) для специальных пунктов назначения ( -d
), независимо от того, в какой группе находится приложение-отправитель, а последнее правило отбрасывает все пакеты ( REJECT
), которые не соответствуют предыдущим правилам. Таким образом, это последнее правило и выполняет фактическую блокировку.
В Интернете есть множество руководств по iptables
, погуглите и выберите тот, который вам нравится, если хотите узнать больше. Некоторые случайные ссылки, которые я нашел полезными в прошлом:
http: //www.iptables. info / en / iptables-target-and-jumps.html