Я хотел бы использовать программное обеспечение для управления программой, которая может подключаться к Интернету. Я знаю, что это поведение связано со словом «firewall», но некоторые пользователи Linux очень расстроены, если кто-то требует Personal Firewall. Я не хочу вас огорчать, требуя такой программы. Я не хочу «защищать порты» или другие вещи, которые Personal Firewall обещает в Windows. Я посмотрел на iptables, но это не соответствует моим требованиям.
Я увидел отличный ответ здесь («Как заблокировать доступ к интернету для винных приложений»), но это очень неудобно, чтобы настроить это.
Есть ли программное обеспечение, которое запрашивает каждую программу, если оно может получить доступ к Интернету?
На немецком форуме Ubuntu (с переводом на Google на английский язык) есть сценарий Perl, который, похоже, делает это. Я никогда не пробовал, и я больше не рассматривал сценарий, но, возможно, он работает на вас. Описание доступно только на немецком языке, так что вам может понадобиться услуга перевода (например, Google Translate, см. Выше).
На немецком форуме Ubuntu (с переводом на Google на английский язык) есть сценарий Perl, который, похоже, делает это. Я никогда не пробовал, и я больше не рассматривал сценарий, но, возможно, он работает на вас. Описание доступно только на немецком языке, так что вам может понадобиться услуга перевода (например, Google Translate, см. Выше).
В немецком форуме Ubuntu есть скрипт Perl ( Google, переведенный на английский язык ), который, похоже, делает это. Я никогда не пробовал, и я больше не рассматривал сценарий, но, возможно, он работает на вас. Описание доступно только на немецком языке, так что вам может понадобиться услуга перевода (например, Google Translate, см. Выше).
В немецком форуме Ubuntu есть скрипт Perl ( Google, переведенный на английский язык ), который, похоже, делает это. Я никогда не пробовал, и я больше не рассматривал сценарий, но, возможно, он работает на вас. Описание доступно только на немецком языке, так что вам может понадобиться услуга перевода (например, Google Translate, см. Выше).
В немецком форуме Ubuntu есть скрипт Perl ( Google, переведенный на английский язык ), который, похоже, делает это. Я никогда не пробовал, и я больше не рассматривал сценарий, но, возможно, он работает на вас. Описание доступно только на немецком языке, так что вам может понадобиться услуга перевода (например, Google Translate, см. Выше).
В немецком форуме Ubuntu есть скрипт Perl ( Google, переведенный на английский язык ), который, похоже, делает это. Я никогда не пробовал, и я больше не рассматривал сценарий, но, возможно, он работает на вас. Описание доступно только на немецком языке, так что вам может понадобиться услуга перевода (например, Google Translate, см. Выше).
В немецком форуме Ubuntu есть скрипт Perl ( Google, переведенный на английский язык ), который, похоже, делает это. Я никогда не пробовал, и я больше не рассматривал сценарий, но, возможно, он работает на вас. Описание доступно только на немецком языке, так что вам может понадобиться услуга перевода (например, Google Translate, см. Выше).
В немецком форуме Ubuntu есть скрипт Perl ( Google, переведенный на английский язык ), который, похоже, делает это. Я никогда не пробовал, и я больше не рассматривал сценарий, но, возможно, он работает на вас. Описание доступно только на немецком языке, так что вам может понадобиться услуга перевода (например, Google Translate, см. Выше).
В немецком форуме Ubuntu есть скрипт Perl ( Google, переведенный на английский язык ), который, похоже, делает это. Я никогда не пробовал, и я больше не рассматривал сценарий, но, возможно, он работает на вас. Описание доступно только на немецком языке, так что вам может понадобиться услуга перевода (например, Google Translate, см. Выше).
Если вы все еще ищете такое приложение, в настоящее время я разрабатываю именно это приложение: http://douaneapp.com/
Мое приложение блокирует любые неизвестные приложения (новые версии авторизированное приложение заблокировано) и спрашивает вас, разрешаете ли вы или запрещаете его трафик.
Посмотрите на веб-сайт ;-)
Запуск программы под другим пользователем будет использовать файлы конфигурации для этого пользователя, а не ваши.
Вот решение, которое не требует изменения правил брандмауэра и работает под одним и тем же пользователем (через sudo) с измененной средой, где ваш пользователь my_user, и приложение, которое вы хотите запустить, - my_app:
# run app without access to internet
sudo unshare -n sudo -u my_user my_app
Подробнее см. man unshare.
Попробуйте Leopard Flower. У этого есть ограничения GUI и каждого приложения.
В Ubuntu, ufw уже есть брандмауэр, но по умолчанию он отключен. Вы можете включить и использовать его в командной строке:
https://help.ubuntu.com/8.04/serverguide/C/firewall.html
Или вы можете использовать программу с графическим интерфейсом над ним, gufw, который устанавливается непосредственно из программного обеспечения Ubuntu Software Center:
https://help.ubuntu.com/8.04/serverguide/C/firewall.html
Если вам нужно заблокировать доступ в Интернет к определенному приложению, вы можете попробовать эту программу, которая все еще находится в бета-версии, и она недоступна в программном центре Ubuntu:
http://sourceforge.net/projects/leopardflower/
Я нашел решение, размещенное здесь, как хорошее. Это включает создание группы пользователей, для которой разрешен доступ в Интернет, и настройка правил брандмауэра для доступа только для этой группы. Единственный способ для приложения получить доступ к Интернету - это если он управляется членом этой группы. Вы можете запускать программы в этой группе, открыв оболочку с помощью sudo -g internet -s.
Чтобы добавить то, что находится в сообщении, которое я связал выше:
Создайте группу «Интернет», введя следующую в оболочку: sudo groupadd internet Убедитесь, что пользователь, который запустит сценарий ниже, добавляется в группу sudo в /etc/group. Если вы в конечном итоге измените этот файл, вам нужно будет выйти из системы и вернуться к нему, прежде чем скрипт будет работать. Создайте сценарий, содержащий следующее, и запустите его:#!/bin/sh
# Firewall apps - only allow apps run from "internet" group to run
# clear previous rules
sudo iptables -F
# accept packets for internet group
sudo iptables -A OUTPUT -p tcp -m owner --gid-owner internet -j ACCEPT
# also allow local connections
sudo iptables -A OUTPUT -p tcp -d 127.0.0.1 -j ACCEPT
sudo iptables -A OUTPUT -p tcp -d 192.168.0.1/24 -j ACCEPT
# reject packets for other users
sudo iptables -A OUTPUT -p tcp -j REJECT
# open a shell with internet access
sudo -g internet -s
Запустив вышеуказанный скрипт, вы получите оболочку, в которой вы можете запускать приложения с доступом в Интернет. Обратите внимание, что этот скрипт ничего не делает для сохранения и восстановления правил брандмауэра. Вы можете изменить сценарий для использования команд оболочки iptables-save и iptables-restore.
Это было в iptables до версии ядра 2.6.24. Если вы используете машину 2.x - 2.6.24, и ваше ядро выполнило это, вы можете это сделать. по какой-то причине они вытащили его, поэтому нет его не microsoft. http://cateee.net/lkddb/web-lkddb/IP_NF_MATCH_OWNER.html
Для лучшего или худшего, Linux использует другой подход. Нет простого графического интерфейса, предлагающего эту функциональность. Есть много дискуссий по этой теме в Интернете, и вы можете найти интересные обсуждения, если вы google search.
Инструменты, предлагающие эту функциональность в Linux, - это Apparmor, Selinux и Tomoyo.
]Ни один из этих инструментов слишком прост в освоении, и все они имеют преимущества и недостатки. Лично я предпочитаю SELinux, хотя SELinux имеет более крутую кривую обучения.
См .:
http://www.linuxbsdos.com/2011/12/06/3-application-level -firewalls-for-linux-distributions /
Было (есть) приложение, на которое уже было указано, leopardflower. Я не уверен в статусе / обслуживании.
Нет, это невозможно. Он также не является частью традиционного определения брандмауэра. Это то, что Microsoft придумала довольно недавно, пытаясь разобраться в своих принципиально нарушенных проблемах безопасности ОС. [0]
Если вам не нравится то, что делает программа, сети при запуске, затем не запускайте эту программу.
Я нашел удобное решение, которое решает проблему. Вы создаете группу, которая никогда не разрешается использовать Интернет и запускает программу как член этой группы.
Создайте группу no-internet. Не присоединяйтесь к этой группе. Добавьте правило iptables -A OUTPUT -m owner --gid-owner no-internet -j DROP в таблицы ip, которое запрещает использование всех процессов, принадлежащих группе no-internet, к сети. Выполните sudo -g no-internet YOURCOMMAND вместо YOURCOMMAND.Вы можете легко написать сценарий оболочки, который использует sudo для вас. Вы можете избавиться от подсказки пароля, добавив
%sudo ALL=(:no-internet) NOPASSWD: ALL
или что-то похожее на ваш /etc/sudoers.
Если вы все еще ищете такое приложение, в настоящее время я разрабатываю именно это приложение: http://douaneapp.com/
Мое приложение блокирует любые неизвестные приложения (новые версии авторизированное приложение заблокировано) и спрашивает вас, разрешаете ли вы или запрещаете его трафик.
Посмотрите на веб-сайт ;-)
Запуск программы под другим пользователем будет использовать файлы конфигурации для этого пользователя, а не ваши.
Вот решение, которое не требует изменения правил брандмауэра и работает под одним и тем же пользователем (через sudo) с измененной средой, где ваш пользователь my_user, и приложение, которое вы хотите запустить, - my_app:
# run app without access to internet
sudo unshare -n sudo -u my_user my_app
Подробнее см. man unshare.
Попробуйте Leopard Flower. У этого есть ограничения GUI и каждого приложения.
В Ubuntu, ufw уже есть брандмауэр, но по умолчанию он отключен. Вы можете включить и использовать его в командной строке:
https://help.ubuntu.com/8.04/serverguide/C/firewall.html
Или вы можете использовать программу с графическим интерфейсом над ним, gufw, который устанавливается непосредственно из программного обеспечения Ubuntu Software Center:
https://help.ubuntu.com/8.04/serverguide/C/firewall.html
Если вам нужно заблокировать доступ в Интернет к определенному приложению, вы можете попробовать эту программу, которая все еще находится в бета-версии, и она недоступна в программном центре Ubuntu:
http://sourceforge.net/projects/leopardflower/
Я нашел решение, размещенное здесь, как хорошее. Это включает создание группы пользователей, для которой разрешен доступ в Интернет, и настройка правил брандмауэра для доступа только для этой группы. Единственный способ для приложения получить доступ к Интернету - это если он управляется членом этой группы. Вы можете запускать программы в этой группе, открыв оболочку с помощью sudo -g internet -s.
Чтобы добавить то, что находится в сообщении, которое я связал выше:
Создайте группу «Интернет», введя следующую в оболочку: sudo groupadd internet Убедитесь, что пользователь, который запустит сценарий ниже, добавляется в группу sudo в /etc/group. Если вы в конечном итоге измените этот файл, вам нужно будет выйти из системы и вернуться к нему, прежде чем скрипт будет работать. Создайте сценарий, содержащий следующее, и запустите его:#!/bin/sh
# Firewall apps - only allow apps run from "internet" group to run
# clear previous rules
sudo iptables -F
# accept packets for internet group
sudo iptables -A OUTPUT -p tcp -m owner --gid-owner internet -j ACCEPT
# also allow local connections
sudo iptables -A OUTPUT -p tcp -d 127.0.0.1 -j ACCEPT
sudo iptables -A OUTPUT -p tcp -d 192.168.0.1/24 -j ACCEPT
# reject packets for other users
sudo iptables -A OUTPUT -p tcp -j REJECT
# open a shell with internet access
sudo -g internet -s
Запустив вышеуказанный скрипт, вы получите оболочку, в которой вы можете запускать приложения с доступом в Интернет. Обратите внимание, что этот скрипт ничего не делает для сохранения и восстановления правил брандмауэра. Вы можете изменить сценарий для использования команд оболочки iptables-save и iptables-restore.
Это было в iptables до версии ядра 2.6.24. Если вы используете машину 2.x - 2.6.24, и ваше ядро выполнило это, вы можете это сделать. по какой-то причине они вытащили его, поэтому нет его не microsoft. http://cateee.net/lkddb/web-lkddb/IP_NF_MATCH_OWNER.html
Для лучшего или худшего, Linux использует другой подход. Нет простого графического интерфейса, предлагающего эту функциональность. Есть много дискуссий по этой теме в Интернете, и вы можете найти интересные обсуждения, если вы google search.
Инструменты, предлагающие эту функциональность в Linux, - это Apparmor, Selinux и Tomoyo.
]Ни один из этих инструментов слишком прост в освоении, и все они имеют преимущества и недостатки. Лично я предпочитаю SELinux, хотя SELinux имеет более крутую кривую обучения.
См .:
http://www.linuxbsdos.com/2011/12/06/3-application-level -firewalls-for-linux-distributions /
Было (есть) приложение, на которое уже было указано, leopardflower. Я не уверен в статусе / обслуживании.
Нет, это невозможно. Он также не является частью традиционного определения брандмауэра. Это то, что Microsoft придумала довольно недавно, пытаясь разобраться в своих принципиально нарушенных проблемах безопасности ОС. [0]
Если вам не нравится то, что делает программа, сети при запуске, затем не запускайте эту программу.
Я нашел удобное решение, которое решает проблему. Вы создаете группу, которая никогда не разрешается использовать Интернет и запускает программу как член этой группы.
Создайте группу no-internet. Не присоединяйтесь к этой группе. Добавьте правило iptables -A OUTPUT -m owner --gid-owner no-internet -j DROP в таблицы ip, которое запрещает использование всех процессов, принадлежащих группе no-internet, к сети. Выполните sudo -g no-internet YOURCOMMAND вместо YOURCOMMAND.Вы можете легко написать сценарий оболочки, который использует sudo для вас. Вы можете избавиться от подсказки пароля, добавив
%sudo ALL=(:no-internet) NOPASSWD: ALL
или что-то похожее на ваш /etc/sudoers.
Если вы все еще ищете такое приложение, я сейчас разрабатываю именно это приложение: http://douaneapp.com/
Мое приложение блокирует любые неизвестные приложения (заблокированы новые версии авторизованного приложения) и спросит вас, разрешаете ли вы или запрещаете его трафик.
Посмотрите на веб-сайт ;-)
[/g1]
Запуск программы под другим пользователем будет использовать файлы конфигурации для этого пользователя, а не ваши.
Вот решение, которое не требует изменения правил брандмауэра и работает под одним и тем же пользователем (через sudo
) с измененной средой, где ваш пользователь my_user
и приложение, которое вы хотите запустить, это my_app
:
# run app without access to internet
sudo unshare -n sudo -u my_user my_app
Подробнее см. man unshare
.
Попробуйте Leopard Flower . Он имеет ограничения GUI и для каждого приложения.