Netfilter バイパス Firejail

Netfilter バイパス Firejail

分離のためにXepyrとOpenboxを介してFirefoxを実行します。 Firejail設定ファイルでネットワークネームスペースごとにネットワーク分離を設定しましたnet enp2a1。しかし、一般ユーザーが--netfilter=fileそのオプションでネットワークルールを無視できることは気に入らない。

すべてのユーザーの機能を制限する方法はありますか?(ルートを除く)ネットワークフィルタリングルールを変更しますか?たとえば、netfilter-default /etc/iptables.iptables.rulesオプションの値を使用すると、firejail.config後で誰もその値を上書きできません。また、firejail.configファイルはrootユーザーのみ変更できます。

Aは、restricted-network yesネットワーク分離が機能しないため、私には適していません。net enp2a1、等。)

関連情報