Всем привет.
Миграция с офтопика на Debian11 LXQT проходит не так гладко как хотелось бы. Фаервол в винде сделан так, что я могу запретить там вообще все соединения. И входящие, и исходящие. А потом разрешить сетевую активность только для конкретных приложений. Например, для браузера или cli. И винда сама будет решать каким протоколам/портам/адресам давать исходящий доступ в сеть.
А на онтопике я до сих пор не поняла, как такое повторить. Запретила все соединения через nftables.conf для обеих chain-ов input и ouput:
type filter hook input priority 0; policy drop;
type filter hook output priority 0; policy drop;
Это сработало и трафик в обе стороны запрещён. После этого я пыталась найти какие то rules, чтобы разрешить трафик не на портах или IP адресах, а конкретному приложению: Firefox. И не нашла.
В качестве workaround поставила OpenSnitch. При запуске Firefox я разрешаю OpenSnitch-у пускать трафик от/к firefox. OpenSnitch отображает это временное правило у себя в GUI. Но Firefox доступа в сеть не имеет.
Я думала, что OpenSnitch сам на лету пропишет нужные rules в nftables. Но, очевидно, этого не происходит.
В итоге я не понимаю, можно ли вообще повторить в Debian то, что я делала в винде за пару кликов. И если, можно, то как? Памагите, плиз.
