Понимание сценария оболочки iptables
На данный момент (январь 2017 г.), похоже, нет фактического решения. Эта тема довольно подробно обсуждалась в этом посте Реализовать изоляцию X11 - не уверен, что с тех пор что-то было дальше.
firejail возвращает следующую ошибку с устройством tun - net , а не то, с чем обычно сталкивается виртуальная машина:
Error: the software is not supported for /31 networks
TAP-интерфейс может быть подключен, существуют TAP-VPN. там ( ibVPN для одного, я думаю).
Я реализовал прокси-сервер ssh forwarding (socks) на основе инструкций, приведенных в этой статье Firejail с Tor HOWTO .
См. Этот пост также о настройке HTTP-прокси перенаправления трафика с моста на HTTP-прокси .
Редактировать 17 февраля '17:
Интеграция OpenVPN https://github.com/netblue30/firejail/issues/59
Ваша интерпретация верна.
Если вы хотите, чтобы все это также применялось к пакетам UDP, вам нужно снова добавить тот же набор правил, но с -p udp вместо -p tcp . Или просто оставьте эту опцию и примените правила ко всем пакетам (хотя с пакетами ICMP могут быть некоторые подводные камни, поэтому, вероятно, безопаснее просто добавить оба типа правил). Однако для доступа к в первую очередь потребуется TCP, например Youtube, поэтому даже если для потоковой передачи с Youtube использовался UDP, вы не смогли бы смотреть поток, потому что вы никогда не дойдете до этого.
Параметр -m выбирает, какой тип соответствия использовать. Вы можете сопоставить множество различных критериев, и есть даже расширения для iptables ( man iptables-extensions ) с даже соответствующими модулями. Здесь -m owner выбирает совпадение по владению пакетами, а - gid-owner указывает совпадение по владению группой. Таким образом, оба варианта вместе означают, что «это правило применяется только к пакетам, отправленным кем-то из группы internet ».
Параметр -j (изначально «прыжок») указывает, что делать, когда правило совпадает. Вы можете перейти к другой цепочке, или вы можете ACCEPT (остановить правила обработки и отправить этот пакет), или вы можете REJECT (остановить правила обработки и проигнорировать этот пакет).
Следующие два правила разрешают пакеты ( ACCEPT ) для специальных пунктов назначения ( -d ), независимо от того, в какой группе находится приложение-отправитель, а последнее правило отбрасывает все пакеты ( REJECT ), которые не соответствуют предыдущим правилам. Таким образом, это последнее правило и выполняет фактическую блокировку.
В Интернете есть множество руководств по iptables , погуглите и выберите тот, который вам нравится, если хотите узнать больше. Некоторые случайные ссылки, которые я нашел полезными в прошлом:
- http://developer.gauner.org/doc/iptables/images/nfk-traversal.png
- http://www.netfilter.org/documentation/ HOWTO / packet-filtering-HOWTO-7.html # ss7.2
- http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO.html
http: //www.iptables. info / en / iptables-target-and-jumps.html
- https://www.frozentux.net/iptables-tutorial/iptables -tutorial.html
