![\"firewall\"](\"https:\/\/diocesanos.es\/blogs\/equipotic\/wp-content\/uploads\/sites\/2\/2015\/05\/firewall.jpg\")
<\/a><\/p>\nEst\u00e1 claro que no me interesa que los chicos a\u00f1adan\/descarguen nada que pueda afectar al uso para el que se pens\u00f3 la instalaci\u00f3n de dicho programa, o que les bombardeen con publicidad nada apropiada para su edad, ni que sepan las veces o no que utilizo la herramienta o de que manera. En MS Windows bastar\u00eda con aplicar reglas espec\u00edficas en el cortafuegos<\/em>, pero \u00bfc\u00f3mo lo hago en Linux?<\/p>\n <\/p>\n Como primera opci\u00f3n me plante\u00e9 bloquear las direcciones y dominios que utilizaba el programa en cuesti\u00f3n. Para averiguarlas ten\u00eda un par de opciones r\u00e1pidas:<\/p>\n 1) arrancar el programa y en un terminal de consola aparte ejecutar algo como esto (prueba con -ntpW para obtener las IPs):<\/p>\n (en el ejemplo de la imagen se han buscado las conexiones abiertas para el programa \u00abfirefox\u00bb)<\/em><\/sup><\/p>\n 2) Utilizar el servicio \u00abdnsmasq\u00bb para monitorizar las peticiones que se realizan (revisa el siguiente art\u00edculo para saber como configurarlo<\/a>):<\/p>\n (Nota: en este caso no podemos discriminar por proceso)<\/em><\/sup><\/p>\n Una vez obtenidas las direcciones de los sitios a bloquear s\u00f3lo has a\u00f1adirlas al fichero \u00ab\/etc\/hosts<\/em>\u00bb de la forma<\/p>\n … o puedes configurar reglas de cortafuegos espec\u00edficas para las IPs y cargarlas en el fichero \u00ab\/etc\/rc.local<\/em>\u00bb antes de la l\u00ednea \u00abexit 0\u00bb:<\/p>\n El problema de estos m\u00e9todos es que bloquean el acceso para todas las aplicaciones del sistema (efecto global), no s\u00f3lo a las que nos interesan. Adem\u00e1s las direcciones y dominios pueden pertenecer a otros servicios a los que s\u00ed queremos acceder en otras circunstancias y desde otros programas.<\/p>\n Otra soluci\u00f3n es aprovecharnos de la forma en la que se le asignan privilegios a los procesos en Linux: asign\u00e1ndoles los del grupo y usuario que lo ejecuta. Y de la capacidad de filtrado de paquetes de red del sistema creando una regla que afecte a los procesos cuyo\u00a0 \u00abgrupo propietario\u00bb con el que se ejecuta sea uno en particular:<\/p>\n 1) Vamos a crear un nuevo grupo de usuarios espec\u00edfico para este propo\u00f3sito<\/p>\n 2) A\u00f1adimos al grupo a los usuarios que queramos controlar<\/p>\n 3) Creamos una regla de iptables<\/strong> pata bloquear las peticiones de red desde procesos asociados a ese grupo<\/p>\n … y la escribimos en el fichero \u00ab\/etc\/rc.local\u00bb (antes de la \u00faltima l\u00ednea que pone \u00abexit 0<\/em>\u00ab) para que se ejecute cada vez que iniciemos el sistema.<\/p>\n Ahora s\u00f3lo tenemos que iniciar los programas indicando a Linux que lo haga asign\u00e1ndole uno de los grupos a los que pertenezca el usuario (en los ejemplos el usuario es \u00abalumno<\/em>\u00ab, al que previamente a\u00f1adimos al grupo \u00abfiltrado<\/em>\u00ab):<\/p>\n … y s\u00ed: las comillas \u00bb \u00bb son obligatorias para indicar el programa. Por ejemplo, si queremos ejecutar un programa de windows con wine<\/strong>:<\/p>\n A partir de aqu\u00ed s\u00f3lo nos queda modificar los accesos a los programas que nos interesen para que invoquen los ejecutables de esta manera.<\/p>\n Modificando y a\u00f1adiendo adecuadamente las reglas de iptables<\/strong> podemos ser capaces de bloquear total o parcialmente (s\u00f3lo direcciones\/protocolos concretos) el acceso a internet de nuestros procesos. Incluso tener distintos grupos con diferentes \u00abniveles de acceso\u00bb…<\/p>\n","protected":false},"excerpt":{"rendered":" Hoy me ha surgido un problema con una de las aplicaciones que uso con los chicos en el aula. Una de esas que tienen opciones para descargar complementos, insertar publicidad, o llevar un seguimiento remoto de la actividad realizada con el programa. Est\u00e1 claro que no me interesa que los chicos a\u00f1adan\/descarguen nada que pueda … Seguir leyendo Firewall: bloquear el acceso a internet a aplicaciones concretas<\/span> Filtrando las peticiones a direcciones\/sitios<\/h2>\n
netstat -tpW | grep \"nombre o PID del programa\"<\/pre>\n
<\/a><\/p>\nsudo killall -9 dnsmasq\r\nsudo dnsmasq --no-daemon --log-queries<\/pre>\n
<\/a><\/p>\n127.0.0.1\u00a0\u00a0 dominio_a_bloquear<\/pre>\n
iptables -I OUTPUT -s ip_a_bloquear -j DROP<\/pre>\n
Filtrado por grupo de usuarios<\/h3>\n
sudo groupadd filtrado<\/em><\/pre>\n
sudo adduser alumno<\/em><\/strong> filtrado<\/em><\/pre>\n
iptables -A OUTPUT -m owner --gid-owner filtrado<\/em> -j REJECT<\/pre>\n
Ejemplos de uso:<\/h4>\n
sg filtrado<\/em> \"nombredelprograma\"<\/pre>\n
sg filtrado<\/em> \"wine ruta_y_nombre_al_programa.exe\"<\/pre>\n