Forcer une application sur une interface réseau

Obidoub · Février 21, 2016, 4:05am

Bonjour,

Voilà mon problème, je voudrais forcer une application (daemon transmission torrent) à utiliser une interface réseau bien spécifique (VPN, tun0). J’ai plusieurs idées :

SE Linux, mais bien trop complexe à utiliser selon moi, je n’ai pas trop envie de m’y frotter.
Apparmor, je ne connais pas du tout, et sur le wiki de debian il ne semble rien y avoir dessus.
Bloquer TOUT le traffic avec iptables, entrant et sortant, n’autoriser que le minimum (requêtes DNS, VPN) et n’ouvrir que ce qui est relatif à tun0 mais ça ne me parait pas propre et je ne sais pas si ça fonctionnera
Faire un script qui vérifie si tun0 existe, et arrête le daemon transmission si ce n’est pas le cas ?

J’aimerais avoir vos avis.
Merci d’avance.

syam · Février 21, 2016, 4:05am

Routage sélectif, voir le tuto sur le wiki : wiki.debian-fr.org/ (et quelques détails dans le T&A du forum, dont le lien se trouve aussi dans le tuto du wiki).

PascalHambourg · Février 21, 2016, 4:05am

Au mieux toutes ces méthodes ne pourront que bloquer les communications de l’application si elles ne passent pas par l’interface voulue, ce qui ne suffit pas pour les faire passer par une autre interface. Ce sont les règles de routage de la pile IP du noyau qui déterminent l’interface de sortie, d’où la réponse de syam.

PS : SELinux/AppArmor permettent éventuellement de marquer les paquets, cette marque pouvant être exploitée ultérieurement par le routage.