[решено]flatpak через iptables

Автор dr_faust, 30 ноября 2024, 21:29:41

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

dr_faust

Создал системную группу flatpak посредством addgroup --system. Добавил в нее моего непривилегированного пользователя, из-под которого работаю. Присвоил ее(группу) бинарнику
-rwxr-xr-x 1 root flatpak 1,4M апр 20  2024 /usr/bin/flatpak
Для фаерволла прописал
-A OUTPUT -p tcp -m owner --gid-owner <номер группы> -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m owner --gid-owner <номер группы> -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
Кроме того общие правила для взодящего трафика
-A INPUT -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Локальный трафик разрешен
-A INPUT -i lo  -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
При попытке обновить индексы репозитория, добавлен ранее, flatpak командой
flatpak update --user --appstream
Долго думает, а потом выдает

Ошибка обновления: Error updating appstream2: Ссылки appstream2/x86_64 в удалённом репозитории flathub не существует; Error updating appstream: Ссылки appstream/x86_64 в удалённом репозитории flathub не существует

Т.е. не может соединиться с репозиторием и скачать необходимое. Фаерволл не пускает.

Что делаю не так?
Devuan 4. Debian 12. LXDE.

Лия

#1
Цитата: dr_faust от 30 ноября 2024, 21:29:41Что делаю не так?
Ещё нужно добавить бит SGID, чтобы /usr/bin/flatpak запускался от группы flatpak
sudo chmod g+s /usr/bin/flatpak

dr_faust

Цитата: Лия от 01 декабря 2024, 03:45:19
Цитата: dr_faust от 30 ноября 2024, 21:29:41Что делаю не так?
Ещё нужно добавить бит SGID, чтобы /usr/bin/flatpak запускался от группы flatpak
sudo chmod g+s /usr/bin/flatpak

Таки да.
Devuan 4. Debian 12. LXDE.

dr_faust

Вышеописанный способ приводит к неработоспособности flatpak из-за того, что система изоляции отказывается запускать установленые приложения.

Работать через https_proxy с репозиторием flathub тоже не хочет.

Поэтому единственый способ это прописать в фаерволе ip репозитория в качестве разрешенных. Достаточно протокола tcp.

Вылавливать матом, nslookup и netstat(по SYN_SENT, когда загрузка тормозит). Сами ip не привожу: хз меняются они со временем или нет.
Devuan 4. Debian 12. LXDE.