Есть ли аналог Comodo Firewall для Linux?

0

3

Доброе утро!

Скажите, есть ли для linux (в идеале для Debian) какой-либо софт, позволяющий блокировать приложения не по портам или протоколам, а именно с указанием, кому что можно?

Для тех, кто не знаком с работой Comodo Firewall поясню - в нем есть возможность изначально запретить все соединения, что я обычно и делал. После этого смотрел какие соединения мне нужны и разрешал их, исходя из того, какой программой они создавались.

Вот типичные снимки того, как выглядят правила в Comodo:

https://i.imgur.com/M9O8pW8.png

https://i.imgur.com/Xg0vwgB.png

https://i.imgur.com/bg8oKjk.png

Вопрос, есть что-нибудь столь же понятное простому смертному, но для linux? Чтобы можно было сказать софту - запрети все входящие, но разреши исходящие: chromium, telegram, qBittorrent плюс пару утилит типа apt...

Поясню почему припекло фильтровать исходящие: нужно протестировать некий софт, который имеет дурную привычку сливать пользовательские данные, причем не просто «лог ошибок». Оно как бы ничего и страшного, но раздражает сам факт, что придется отключить и удалить на время тот же telegram и не заходить в аккаунты в браузере.

Ссылка

←	Добавить имя branch в prompt

Файловый диалог в KDE растянут на весь экран

→

решений для изоляции много. вот чтобы жмакнуть мышкой и забыть наверно нет. запусти в виртуалке самое простое

Anoxemian ★★★★★
(17.08.20 08:51:48 MSK)

Ответ на: комментарий от Anoxemian 17.08.20 08:51:48 MSK

Если бы... Этот софт не запускается в виртуалке.

debian-xfce
(17.08.20 08:52:31 MSK) автор топика

Ответ на: комментарий от Anoxemian 17.08.20 08:51:48 MSK

Ну и там требования к ресурсам такие, что комп и не потянет. Я уже сам залез в виртуалку, а ту прогу оставил снаружи. При этом оставил себе интернет в виртуалке через сетевой мост, а снаружи все запретил. Но что-то мне подсказывает, что это не выход.

debian-xfce
(17.08.20 08:54:32 MSK) автор топика

Ссылка

Ответ на: комментарий от Anoxemian 17.08.20 08:51:48 MSK

И еще, я так и не понял, вот как при таких настройках у меня все еще работает сеть в виртуалбоксе?!

https://i.imgur.com/5oHp5Kq.png

debian-xfce
(17.08.20 08:58:30 MSK) автор топика

Ссылка

По описанию firejail подходит. https://manpages.debian.org/stretch/firejail/firejail.1.en.html

Можно со всех сторон всё запретить.

Radjah ★★★★★
(17.08.20 09:04:51 MSK)

Ответ на: комментарий от Radjah 17.08.20 09:04:51 MSK

Огромное спасибо! Да, именно песочница, вот это, пожалуй, именно то, что мне нужно! Я никак сформулировать не мог.

Но там вроде дыр много было, уже залатали?

debian-xfce
(17.08.20 09:13:22 MSK) автор топика

Ответ на: комментарий от debian-xfce 17.08.20 09:13:22 MSK

Про дыры хз. Там же по идее ядерные механизмы для запихивания программы в отдельные namespaces используются.

Radjah ★★★★★
(17.08.20 09:16:02 MSK)

Ссылка

Ответ на: комментарий от debian-xfce 17.08.20 08:52:31 MSK

strace

anonymous
(17.08.20 09:24:49 MSK)

Ответ на: комментарий от anonymous 17.08.20 09:24:49 MSK

Спасибо! Да я, в сущности, знаю, почему оно не запускается, там стоит защита именно от запуска в виртуалке. Плюс проверяется совпадение времени bios и системы, плюс смотрит на mac сетевой. Ну это как минимум, а дальше уже идет осмотр на предмет, а не виртуалка ли это вообще... То есть это не баг, а фича. И моих познаний уж точно не хватит, чтобы эту фичу обмануть, я даже пытаться не буду.

debian-xfce
(17.08.20 09:31:31 MSK) автор топика

Ссылка

С application firewall в линуксах все традиционно печально, т.к. линуксоиды думают, что оно ненужно. Смотри apparmor, но это тот еще костыль.

Khnazile ★★★★★
(17.08.20 09:32:11 MSK)

Ответ на: комментарий от Khnazile 17.08.20 09:32:11 MSK

Спасибо, посмотрю, кажется как раз то, что нужно. Как вариант совместить песочницу и файрвол.

Кстати, в том же gufw есть возможность сделать вот так:

https://i.imgur.com/L77z0xL.png

Но, как назло, предустановленные настройки только для qbittorrent.
Даже Chromium нет.

debian-xfce
(17.08.20 09:45:32 MSK) автор топика

Про Дэб незнаю, в OpenSUSE есть SuSEfirewall2 - все настройки через гуй YaST, запрещает-разрешает всё что нужно и проги и порты и юзеров и всё скопом.

piwww ★★★★
(17.08.20 09:51:33 MSK)

Ответ на: комментарий от piwww 17.08.20 09:51:33 MSK

С разморозкой, там этого ничего больше нет, все заменили на стремный firewalld

Khnazile ★★★★★
(17.08.20 10:02:51 MSK)

Ответ на: комментарий от debian-xfce 17.08.20 09:45:32 MSK

так это поди просто название правила и к самому qbt отношения не имеет, просто открывает порт для всех желающих. нормального удобного решения для разрешения/запрета отдельному приложению ходить только в определенные места все еще нет. может с новыми ebpf хуками в stacked lsm кто-нибудь и сделает, но надежды мало

~~s-o~~ ★
(17.08.20 12:26:55 MSK)

Ссылка

Вопрос, есть что-нибудь столь же понятное простому смертному, но для linux?

Есть вариант связки libcgroup + nftables. libcgroup создаёт группы по имени приложения, nftables применяет правила к пакетам по мета-признаку cgroup.

Настроить можно всё, что угодно, к примеру разрешить на ЛОР ходить через хромиум, и запретить через файрфокс и т.д. и т.п. Т.е. все правила фильтрации трафика в разрезе приложений.

Проблема только в «столь же понятное простому смертному», если простой смертный дружит с текстовыми конфигами, то ничего сложного. Насколько я знаю, систем управления такой связкой пока ещё нет.

vvn_black ★★★★★
(17.08.20 12:41:11 MSK)

Ссылка

Ответ на: комментарий от debian-xfce 17.08.20 09:45:32 MSK

Эти предустановленные настройки - просто заранее собранная информация о том, какой порт, какой протокол и т.д. использует программа. В итоге все равно все сводится к обычным фильтрам. Если нужна изоляция программы, то самые простые и ресурсоэффетивные способы - песочница и lxc. Чуть пожирнее - виртуалки типо qemu. Но они и поинтереснее, т.к. можно дрова накатить, не ограничен текущим ядром, можно железо прокинуть.

anonymous
(17.08.20 13:03:11 MSK)