Ahoi!

Ist es möglich WINE, bzw. die Programme, die darin laufen, daran zu hindern eine Verbindung zum Netz aufzubauen?
Per iptables wäre natürlich genial, aber ich glaube es ist nicht wirklich möglich, spezielle Applikationen zu blocken, richtig?

Richtig. Mir ist kein Weg bekannt.

Rein theoretisch müsste das gehen, WINE nutzt ja irgendeine Winsock-Emulation. Die müsste man in den Quellen nullen.

Also ohne Eigenleistung nicht machbar.

Wäre da nicht ein virtueller PC die Alternative? Den startest du ohne virtuelle Netzkarte und schon haben die Windows Programme keinen Internetzugang.

Doch, da gabs mal sowas wie die win "firewalls" für linux, mit dem man bestimmte programme zu blocken. War nicht iptables, aber mehr findest du über die suche.

DrGonzo die Umsetzung deiner Idee ist weder trivial noch in kurzer Zeit realisierbar (wenn überhaupt). Folge dem Ratschlag von steffen.becker und du sparst dir Zeit, Mühe und Ärger. Wenn der virtuelle PC keine Anbindung in die Aussenwelt hat, dann kann auch kein Programm nach Hause telefonieren. Ist die praktikabelste Lösung.

Da "Personal Firewalls" bekannt dafuer sind, jegliche Netzwerkkommunikation gruendlich zu sabotieren, koennte man ja mal sowas installieren.:rolleyes:
Norton z.B. hat da einen "hervorragenden" Ruf.:D
Allerdings waere ein vorheriges Backup nicht schlecht.

Ich würde beim besten Willen keine PersonalFirewall in einer Wine-Umgebung installieren - die wird unter Garantie nicht funktionieren, da die nachgebildete Windows-API noch nicht soweit ist, um mit solchen "Geschossen" umgehen zu können. Ausserdem pfuschen diese PersonalFirewalls so tief im System herum, dass dies nur nach hinten losgehen kann.

such bitte mal nach fieryfilter

such bitte mal nach fieryfilter

Hostbasierende Packetfilter, die sich mit Benutzerrechten konfigurieren lassen, sind unter Linux genauso sinnfrei wie unter Windows.
Ausgehenden Verkehr nach Anwendungen filtern zu wollen ist ebenfalls ziemlich sinnlos.

das geht doch mit iptables oder?
iptables -A OUTPUT -match owner --cmd-owner wine -j DROP


--cmd-owner name
Matches if the packet was created by a process with the given command name.
(this option is present only if iptables was compiled under a kernel supporting
this feature)


oder überseh ich da was?

ansonsten halt mit nem extra-user starten und mit
iptables -A OUTPUT -match owner --uid-owner $UID -j DROP
filtern.

Das Programm, was Du suchst, ist FireFlier. Siehe http://fireflier.sourceforge.net/ für weitere Infos. Nur soviel sei gesagt: Es funktioniert ähnlich wie Personal Firewalls unter W****** bei denen Du jede Nutzung (per Programm, oder noch weiter eingeschränkt über IP/Port...) freigeben oder verbieten kannst. Ich benutze es, und es meldet sich immer, wenn etwas gemacht werden soll was ich vorher noch nicht erlaubt habe.

Gruß,
Mathis

PS: Das mit -match owner habe ich vorher probiert, es aber nie zum Laufen bekommen...

also soweit ich sehe, verwendet fireflier auch iptables.
daher kann fireflier nichts, was iptables nicht auch könnte, es vereinfacht nur die regelerstellung.

Das ist richtig, aber es leitet zusätzlich den gesamten Traffic über eine von dem FireFlied-Daemon kontrollierte interne Queue. Dadurch können benutzerdefinierte Regeln (auch über reine iptables hinausgehende) abgefragt werden.

Mathis

Ich habe das jetzt mit einem zusätzlichen User gelöst, dem ich per iptables jeglichen Netzzugang untersage. Das betreffende Programm starte ich dann per sudo von meinem Account.