Niee, to nie o duszenie chodzi, to chodzi o egress filtering ale wczesniej o zalatanie kernela iptables z zalaczonych linkow (podane 3 paczki rowniez sprawdze), a nastepnie otagowanie pakietow min 2 roznych aplikacji, i ostatecznie sprawdzenie skutecznosci rozwiazania na FW. Wszystko bez duszenia

Egress filtering wymaga funkcjonujacego modulu cgroup z podsystemem net_cls w celu otagowania a nastepnie skonteneryzowania pakietow ruchu sieciowego.
Aby Kernel iptables mogl je uporzadkowac wymagane jest wsparcie w postaci implementacji latki z Git,a dostepnej pod tym adresem: https://git ...

W takim razie zakladam (w logicznej kolejnosci) watek : Kernel + cgroups + patchowanie iptables

@dedito
Ten watek to 2 zagadnienia, gdzie bylbym wdzieczny za rzeczywista pomoc (bez komentarzy):
a - patchowanie Kernela za pomoca latek z Git,a (zalaczone powyzej linki)
b - zastosowanie podsystemu net_cls do przydzielenia klasyfikatora "classid" wszystkim pakietom, ktore moga
byc nastepnie ...

Poświęciłem czas na twoje zachcianki, po czym stwierdziłeś, że takie rozwiązanie Ci się nie podoba. Mógłbym teraz zapytać dlaczego marnujesz mój czas?

O czym tu mowisz, destrukcja zamiast konstrukcji.
Jezeli w ten sposob zamierzasz komunikowac sie z innymi ludzmi, zbywajac ich, badz lekcewazac to ...

Racja. I tak nie będzie w stanie 100% wszystkiego kontrolować.

IDS i jeszcze parę zabawek i starczy.


A tak w ogóle po co potrzebne Ci takie logi co dokładnie się dzieje.. Wiesz 50% administratorów nie wie co się w ich sieci dzieje...

To jacy z nich admini???
Chce poznac mozliwosci jakie daje ...

Takie 2 zasady:

1) Można dużo rzeczy potestować na maszynach wirtualnych, dotyczy to np. forwardowania, blokowania/udostępniania portów.

2) Najpierw blokujesz się cały, w 100%. Wszystko zamykasz. A później krok po kroku otwierasz porty/usługi. Robisz taką twierdzę, którą trochę - za każdym ...

a logi zapchają ci dysk i tak ich potem nie bedziesz studiował bo będzie ich za dużo..

Zaledwie czesciowa prawda poniewaz:

- realizacja glownie logow polaczen a nie pakietow.
- realizacja logow glownie polaczen o okreslonym statusie np NEW
- wybiorcza realizacja logow wg wybranego kryterium albo ...

Przeciez iptables sa natywnie w Jessie
root@debian:/home/anthony# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Mam podstawowa ...

Swiadomie nie podalem szczegulow, zeby nie sugerowac odpowiedzi.

Potrzebuje Waszego wsparcia w:
"Zeby konfigurawac iptables w sposob umozliwiajacy kontrole ruchu musze zainstalowac na Kernelu ta latke: https://git.netfilter.org/iptables/commit/?id=64658 … dfee61d1a0aeb a nastepnie https://git ...