Làm thế nào để chặn truy cập internet cho các ứng dụng rượu vang?

38

Làm thế nào người ta có thể ngăn chặn các ứng dụng rượu cụ thể hoặc bất kỳ truy cập internet?

Khi sử dụng một số ứng dụng nhất định trong Windows, họ đã cố gắng truy cập internet theo thời gian mà không có lý do rõ ràng. Tôi đã có thể ngăn chặn hành vi đó với một tường lửa cá nhân trước đó. Thật không may, tôi không tìm thấy một tường lửa cấp ứng dụng trong Ubuntu cho đến nay. Điều này đặc biệt khó chịu khi tôi ở nước ngoài sử dụng chuyển vùng dữ liệu với modem 3G.

wine  security  firewall 
YSN
nguồn
Bạn có thể thử tải trước noinet của tôi. Askubfox.com/questions/249826/ Lời
escor 19/12/13

Câu trả lời:

29

Có một hướng dẫn tuyệt vời về việc chặn bất kỳ chương trình cụ thể nào truy cập Internet trên các diễn đàn Ubuntu .

Các bước

sudo addgroup no-internet  # Create group "no-internet"
sudo adduser $USER no-internet  # Add current user to no-internet

quy tắc iptables để ngăn nhóm đó truy cập mạng

sudo iptables -I OUTPUT 1 -m owner --gid-owner no-internet -j DROP
sudo ip6tables -I OUTPUT 1 -m owner --gid-owner no-internet -j DROP # To also block IPv6 traffic

Quá trình bạn không muốn có quyền truy cập internet bằng cách sử dụng sg hoặcsudo -g (thực thi lệnh dưới dạng ID nhóm khác nhau):

sg no-internet -c "processFullPath args"

Về cơ bản, nó liên quan đến việc tạo một nhóm mới, từ chối truy cập Internet và sau đó chạy bất kỳ chương trình nào bạn muốn hạn chế làm ID nhóm đó. Vì vậy, trong trường hợp của bạn, bạn sẽ luôn luôn chạy rượu bằng phương pháp được mô tả trong hướng dẫn.

goric
nguồn
2
Cảm ơn bạn, đó là nó! Nhưng tôi không hiểu, tại sao ai đó đã bỏ phiếu cho bạn. Câu trả lời của bạn là chính xác những gì tôi đã hy vọng.
YSN
Đó là một câu trả lời tuyệt vời nếu bạn theo liên kết, nhưng tôi nghi ngờ DV là bởi vì đó là câu trả lời chủ yếu là liên kết. Nếu bạn muốn làm thế nào, bạn phải đi đến các diễn đàn. Điều đó nói rằng, nó đã nhận được một upvote từ tôi.
RobotHumans
1
Để giải thích: để chạy một lệnh theo nhóm mới sử dụng : sg no-internet -c "command args". Cũng lưu ý: rõ ràng quy tắc iptable này không giảm ping, vì vậy nếu bạn sẽ kiểm tra xem nó có hoạt động hay không, hãy sử dụng netcat thay thế. EDIT : Tôi cũng lưu ý: nó không làm mất kết nối IPv6, do đó bạn chỉ chặn UDP và TCP của IPv4.
Hi-Angel
1
@ Hi-Angel Có lẽ cũng nên lập luận như vậy nhưng với ip6tables.
Pablo A
16

Tạo một nhóm và trở thành một thành viên của nó

addgroup wino

adduser $USER wino

Bây giờ hãy nhập iptablesquy tắc để chặn nhóm đó sử dụng internet, bạn có thể nhập mã này trên thiết bị đầu cuối và nhấn enter

iptables -A OUTPUT -m owner --gid-owner wino -j REJECT

Để làm cho quy tắc này chạy sau mỗi lần khởi động lại với việc sử dụng systemd iptables-persistent savetừ iptables-persistentgói.

Nếu sử dụng RC-local : Bạn có thể đặt quy tắc vào /etc/rc.local. Hãy chắc chắn rằng dòng cuối cùng trong tệp văn bản đó nói exit 0.

Ví dụ sử dụng:

sg wino "wine executablename.exe"

Bạn cần " "và cũng gõ rượu trước tên chương trình.

dấu
nguồn
2
Tôi đã chỉnh sửa usermodlệnh của bạn để thêm -a. Nếu không -a, bạn sẽ kết thúc xóa người dùng từ tất cả các nhóm bổ sung khác (như admin, cdrom, vv)! Nó cũng thuận tiện hơn để sử dụng addgroup/ adduser.
gertvdijk
chỉ là để sửa chữa -a mình. vâng, đừng bắt đầu rượu làm gốc! chỉ cần root để thực hiện quy tắc iptables. ví dụ sử dụng là cho người dùng bình thường sau khi thực hiện các bước đó.
đánh dấu
ah xin lỗi, lỗi của tôi xóa bình luận.
gertvdijk
@gertvdijk Tôi đã chỉnh sửa các lệnh một lần nữa, adduser <username> <groupname>là điều hợp lý ở đây.
guntbert
1
Có khả năng nào để mặc định rằng internet bị chặn cho chương trình đó không (tức là làm cho sgcuộc gọi bị lỗi thời, ví dụ: bằng cách chownnhập chương trình)?
bonanza
8 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MigrateProxy"=dword:00000001
"ProxyEnable"=dword:00000001
"ProxyHttp.1.1"=dword:00000000
"ProxyOverride"="<local>"
"ProxyServer"="http://NonExistantProxyAddress:80"
"User Agent"="Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1"

để thêm vào sổ đăng ký rượu vang (hoặc ổ đĩa ảo playonlinux) của bạn:

Giải pháp đơn giản hơn nhiều so với sử dụng các nhóm (& không ngăn pol kết nối, chỉ các ứng dụng)

tín dụng vào http://ootput.wordpress.com/2011/06/06/block-wine-appluggest-from-the-iNET/comment-page-1/

EDIT: chờ đợi người đam mê trong bình luận để thêm cài đặt đăng ký để chặn TCP, trong thời gian trung bình: http://support.microsoft.com/en-us/kb/154596 (âm thanh như cài đặt cổng về 0 hoặc tạo một số cấu hình lỗi thực sự sẽ chặn các kết nối tcp / udp, nhưng tôi chưa gặp phải vấn đề đó, vì vậy tôi không có nhu cầu giải quyết vấn đề này)

mikakun
nguồn
3
điều này chỉ chặn truy cập cho phần mềm tôn vinh các cài đặt proxy, hầu hết không rõ ràng ... vì vậy đây không phải là một giải pháp hợp lệ!
K1773R
1
thích cái nào (tất cả phần mềm tôi đã sử dụng với pol đã bị chặn thực sự). do đó tôi không bị thuyết phục bởi tuyên bố của bạn: nó có giá trị trong nhiều trường hợp, có thể không phải ở một số, nhưng cái nào?
mikakun
2
không, không phải vậy. ví dụ; bất kỳ phần mềm nào chỉ kết nối với máy chủ: cổng thông qua TCP sẽ tiếp tục hoạt động. Cài đặt proxy HTTP là thứ mà chương trình phải nhận ra và tôn vinh. Nếu bạn không tin tôi, hãy lấy / biên dịch phần mềm kết nối với máy chủ khác thông qua TCP và tự mình xem phần mềm.
K1773R
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.