ufw有沒有類似win防火牆的過濾功能?
基本上,我不僅可以建立基於 ip/port/proto 的規則,還可以將此類限制綁定到系統內的特定可執行檔。
深入閱讀該man頁面並沒有發現任何跡象,所以我認為這是不可能的,但我也注意到關於 ufw 的 python API 的文檔令人難以置信的缺乏,所以我希望找到一些有經驗的用戶可以指出我朝著正確的方向前進。
答案1
當我在尋找類似的東西時,建議似乎是「在單獨的用戶下運行程式」——因為你可以編寫每個用戶的 iptables 規則——http://www.cyberciti.biz/tips/block-outgoing-network-access-for-a-single-user-from-my-server-using-iptables.html。
話雖如此,selinux 規則可能會滿足您的需求 -https://serverfault.com/questions/563872/selinux-allow-httpd-to-connect-to-a-specific-port。聽起來 selinux 附帶了常見二進位檔案及其常用連接埠的規則 - 就像上面連結中的 httpd 一樣。為任意二進位檔案編寫規則和/或鎖定所有不滿足我不知道的規則的連接需要什麼,但它可能值得一看。
編輯:只是一些類似的現有問題:
https://stackoverflow.com/questions/4314163/create-iptables-rule-per-process-service
其中之一指出了這一點:https://sourceforge.net/projects/leopardflower/- 如果您正在尋找封裝在 GUI 中的東西,並且已經處理了大部分繁瑣的事情,那麼這可能符合要求。我連結到了 sourceforge 而不是較新的 github 頁面,因為 sourceforge 那裡有一個螢幕截圖,可以讓您了解您正在查看的內容 - 但您可能想從 github 獲取較新的版本,而不是 2.5 年的舊版本sourceforge如果它看起來像你想要的。