¿Existe algún filtrado ufwque funcione como un firewall?
Básicamente, me permite no solo crear reglas basadas en IP/puerto/proto, sino también vincular dichas limitaciones a ejecutables específicos dentro del sistema.
Una lectura profunda de la manpágina no reveló ninguna indicación, así que supongo que no es posible, pero también noté una increíble falta de documentación sobre la API de Python para ufw, así que espero encontrar algún usuario experimentado que pueda señalar yo en la dirección correcta.
Respuesta1
Cuando estaba buscando algo similar, las sugerencias parecían ser del tipo "ejecutar el programa con un usuario separado", ya que se pueden escribir reglas de iptables por usuario.http://www.cyberciti.biz/tips/block-outgoing-network-access-for-a-single-user-from-my-server-using-iptables.html.
Dicho esto, las reglas de Selinux podrían hacer lo que estás buscando:https://serverfault.com/questions/563872/selinux-allow-httpd-to-connect-to-a-specific-port. Parece que Selinux viene con reglas para binarios comunes y sus puertos habituales, como httpd en el enlace anterior. No sé qué se necesitaría para escribir reglas para archivos binarios arbitrarios y/o bloquear todas las conexiones que no cumplan una regla, pero valdría la pena analizarlo.
Editar: solo algunas preguntas similares existentes:
https://stackoverflow.com/questions/4314163/create-iptables-rule-per-process-service
Uno de ellos apunta a esto:https://sourceforge.net/projects/leopardflower/- si está buscando algo envuelto en una GUI con la mayoría de las cosas complicadas ya resueltas, esto podría ser la solución. Me vinculé a sourceforge en lugar de a la página más nueva de github, ya que sourceforge tiene una captura de pantalla allí para darte una idea de lo que estás viendo, pero probablemente quieras obtener la versión más nueva de github en lugar de la versión de 2,5 años en sourceforge si se parece a lo que buscas.