Цитата(Metal Messiah @ 29.1.2023, 9:55)
Еще можно aufs использовать для той же задачи, но я больше доверяю откату виртуальной машины в исходное состояние.
Просто пример (конфигурация условная)
Условная девушка у которой на компьютере какая нибудь Ubuntu, подключена к маршрутизатору Mikrotik, из всего ПО имеем: браузер, почтовый клиент, офисный пакет, и к примеру steam (не в этом случае) с несколькими игрульками (хотя чаще всего это браузер)
Разделы:
overlay / и
/homeБазовая установка программ, настройка системы.
Код
sudo sed -i -e "/^${USER}/s/true/false/" /etc/passwd
Примерная конфигурация для ufw /etc/iptables.rules
Код
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j DROP
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
-A ufw-user-logging-forward -j RETURN
-A ufw-user-logging-input -j RETURN
-A ufw-user-logging-output -j RETURN
-A ufw-user-output -s 192.168.88.252/32 -d 192.168.88.1/32 -o eth0 -p tcp -m tcp --dport 89 -j ACCEPT
-A ufw-user-output -s 192.168.88.252/32 -d 192.168.88.1/32 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A ufw-user-output -s 192.168.88.252/32 -d 192.168.88.1/32 -o eth0 -p tcp -m tcp --dport 8088 -j ACCEPT
-A ufw-user-output -s 192.168.88.252/32 -d 192.168.88.1/32 -o eth0 -p udp -m udp --dport 8088 -j ACCEPT
(mtp, локальные ресурсы ненужны, для steam порты открываем отдельно)
qBittorrent (на докере)
Брацзер по дефолту (к примеру Firefox) без профиля по умолчанию!
Код
rm -rf ${HOME}/.mozilla/firefox/*
Запуск браузера должен быть таким
Код
Exec=firefox --Profile /path/to/profile
Микротик - 192.168.88.1:89 # На котором поднят socks5 proxy
--port 8088Компьютер - $(hostname -I) #192.168.88.252/32
Применяем правила
Код
sudo iptables-restore < /etc/iptables.rules
Включаем overlay (заморозим корневую фс)
Код
sudo ./overlayfs enable
Прописываем адреса socks5 прокси во всех нужных девушке программах: Браузер, Почтовый клиент, etc...
Получаем надёжную рабочую станцию с минимальными настройками.
Отредактировал: Gecko, - 29.1.2023, 13:55
Не отвечаю на ЛС.
Правила форума
Gecko
28.1.2023, 9:15
overlayfs.zip ( 8,91 килобайт )
Кол-во скачиваний: 7
Поблагодарили 2 раз
Поблагодарили 
