Início / unix / Perguntas / 479012
Accepted
Soumya
Asked: 2018-11-01 15:27:13 +0800 CST

Restringir o acesso de entrada na porta localhost:TCP

  • 772

Por motivos além do meu controle, tenho um binário que se liga ao TCP "localhost:$PORT". (As ligações de soquete Unix tornariam essa questão discutível).

Se entendi corretamente, isso significa que, embora nenhuma máquina de rede possa se conectar, outros usuários na máquina (incluindo usuários de daemon sem privilégios) podem se conectar a essa porta.

Existe alguma maneira de eu especificar que apenas binários em execução como $me devem ter permissão para se conectar a esta porta? Eu posso me tornar root para especificar a configuração, mas o binário de escuta e os binários de conexão são executados como o usuário $me não root

linux networking

1 respostas

  1. Best Answer

    Existe uma ownerextensão match no iptables, mas ela só pode ser usada em chains OUTPUT e POSTROUTING. Então você pode adicionar duas regras no início da cadeia OUTPUT do iptables assim (acesso root necessário):

    iptables -I OUTPUT 1 -o lo -p tcp --dport $PORT -m owner --uid-owner $me -j ACCEPT
iptables -I OUTPUT 2 -o lo -p tcp --dport $PORT -j DROP
    • Regra 1: se um pacote estiver saindo da interface de loopback sobre TCP e tiver a porta de destino $PORT e o proprietário do pacote for $me, deixe-o passar (e não processe mais nenhuma regra nessa cadeia).
    • Regra 2: se um pacote estiver saindo da interface de loopback sobre TCP e tiver a porta de destino $PORT, mas não corresponder à regra 1 (ou seja, o pacote pertence a qualquer pessoa que não seja $me), descarte-o.

    Se o seu sistema tiver algum serviço que gerencie as configurações do iptables para você (por exemplo ufw, para sistemas Debian/Ubuntu ou firewalldRedHat/Fedora), você provavelmente precisará configurar esse serviço para criar essas regras do iptables para você em vez de adicioná-las manualmente.

    • 5

relate perguntas