LINUX.ORG.RU

Визуальный фаервол


0

3

Есть ли под линь визуальные фаерволы, реагирующие на события (попытку программы установить соединение с удаленным хостом, dns-запросы) и производящие последующее обучение, основываясь на ответах? Проект firestarter этого не умеет, судя по всему. Возмонжно, надо использовать grsecurity с каким-то GUI или есть иные решения? Просто я смотрю, под оффтопик и яблоко таких решений полно (в офтопике даже всторонное есть, правда очень кривое и урезанное), agnitum outpost firewall - как яркий пример концепта приложения, которое мне нужно.

Ещё раз: надо, чтобы при попытке доступа процесса к сети встплывало сообщение в иксах, спрашивающее, что надо делать.

Я тоже такое хочу. Но такого нет. Линуксоиды мотивитруют это тем, что iptables надо настраивать в консоли, а графические морды - не-Ъ.

CTAPK
()
Ответ на: комментарий от CTAPK

Вы не поняли. для настройки тупо iptables есть куча гуёв. Мне нужно именно СОБЫТИЙНОЕ реагирование на попытку доступа в сеть. Такое точно есть, но через консоль grsecurity, причём там идёт сразу действие запрет/разрешение с занесением в лог, а не откладывание действия до момента решения пользователя.

ktulhu666 ☆☆☆
() автор топика

Нужно, но нету.

anonymous
()
Ответ на: комментарий от geekless

да, ещё сейчас скажут что-нибудь типа «не страдай паранойей», «используй венду, если тебе так надо», «если тебе нужна безопасность, то перейди на openbsd», «в линуксе всё безопасно, поэтому смысла в данной проге нет для десктопа» :)

ktulhu666 ☆☆☆
() автор топика

В Мандриве есть встроенный interactive firewall

Еще можешь попробовать какой-нить firestarter

annulen ★★★★★
()
Ответ на: комментарий от annulen

но в firestarter только настройка правил, уведомлений нет

annulen ★★★★★
()

Было firestarter но уже нету потому как оно много лет R.I.P.

init_6 ★★★★★
()
Ответ на: комментарий от anonymous

>Это не то, что надо.

Мандривный файрвол показывает уведомления, когда кто-то сканит порты или подключается к открытому. Насчет фильрации исходящего трафика ничего не знаю, так как никогда не требовалась

annulen ★★★★★
()
Ответ на: комментарий от ktulhu666

> я уже сказал про grsecurity, в selinux вообще нету возможности работы с tcp/ip. но это не то

Что grsecurity, что selinux - одна фигня, задачи одинаковые. И есть там работа c tcp/ip.

anonymous
()

но тут нельзя диапазон адеров указать. тупо: да или нет.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от leave

тебе компьютер тоже не нужен, вероятно, если ты критично мыслишь, ссылаясь только на свои стереотипы ;)

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от leave

за ststrace спасибки, даже знаю, где его можно применить по достоинству

ktulhu666 ☆☆☆
() автор топика

> Визуальный фаервол

На пьяную голову представились прыщавые очкастые хакеры, бьющиеся головой о кирпичную стену. И все это во всплывающем окошке.

anonymous
()
Ответ на: комментарий от BattleCoder

у гентушников вообще есть профиль hardened gentoo, где все свистоперделки безопасности уже есть и с настройкий причем. http://ru.wikipedia.org/wiki/Hardened_Gentoo

но если тебе нужен именно фаервол на доступ приложений к сети, то см ссылки выше, grsecuriry тебе тут не будет удобен.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

На своем компьютере я знаю, какая программа куда ходит и зачем. А если у вас explorer.exe без спросу ломится на виндусьапдейт.ком за новой порцией drm, то это ваши проблемы

leave ★★★★★
()
Ответ на: комментарий от ktulhu666

Я раньше (несколько лет назад) как делал... настраивал iptables с журналированием... чтобы при попытке доступа «куда-не-надо» писалось в журнал. И мониторил dmesg.

Неудобство в том, что замусоривал dmesg - не нашёл способа в отдельный файл журнал писать.

Ну и опять же... надо самому думать, по какому принципу в журнал писать. Например, такой вариант - запретить всё по умолчанию (любой доступ в сеть, кроме того, что нужно), а попытки доступа куда-не-надо записывать. И потом по этим записям думать, а что бы мне в исключения прописать...

UNIX Way такой UNIX Way.

BattleCoder ★★★★★
()
Ответ на: комментарий от BattleCoder

я тебе выше написал вменяемые решения. то, что ты сказал firestarter делает,только с гуями и гламурно)))

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от BattleCoder

и ещё 2-мя кликами можно потом правило для разрешни доступа создать

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ptah_alexs

Наверно это на случай безумия. Если сбесится система, посходят с ума программы, озвереют скрипты, то доблестный фаервол встанет на защиту против утечки данных.

sin_a ★★★★★
()

для чего такое может понадобится? разве что для отслеживания руткитов, и то врядли

moot ★★★★
()

ktulhu666> визуальные фаерволы, реагирующие на события (попытку программы установить соединение с удаленным хостом, dns-запросы) и производящие последующее обучение, основываясь на ответах?

Можно use case? Или я угадаю: у тебя пиратский софт, который ты не хочешь пускать в интернет.

1. Если так, то просто, если ты не можешь от него отказаться, запускай его под отдельным юзером и для этого юзера закрой доступ в интернет при помощи iptables.

2. Если нет, то таки давай use case, т.к. у меня никогда не возникало такой потребности и мне просто интересно.

sdio ★★★★★
()
Ответ на: комментарий от ktulhu666

> ну, как всегда, можно упрекнуть в несостоятельности аудиторию лора)

Во дурак. Это наколенные, давно заброшенные поделки, которые не решают твои задачи. Они не контролируют отдельные приложения.

anonymous
()
Ответ на: комментарий от sdio

> 2. Если нет, то таки давай use case, т.к. у меня никогда не возникало такой потребности и мне просто интересно.

Мне тоже это сильно не нужно, но было бы полезно.

Ошибки программиста, мейнтейнера, юзера - все это может вести при свободном доступе к сети к последствиям различной тяжести.

Вот, кстати, недавно мне kchmviewer на debian stable выдал: «A new version 5.3 of Karaoke Lyrics Editor is available!»

anonymous
()
Ответ на: комментарий от anonymous

Самая простая идея: выделить приложения, которым безусловно разрешить доступ в интернет/сеть и запускать их от имени юзера, которому доступ в интернет разрешен на уровне iptables, реальный же юзер доступа в интернет не имеет.

Технически реализовать это легко, но на данном этапе это сложно организовать, т.к. нужен удобный механизм перевода приложений из одной категории в другую на уровне DE или дистрибутива.

sdio ★★★★★
()
Ответ на: комментарий от anonymous

Вот еще примерчик вспомнил.

StarDict в старом дебиане по-умолчанию запрашивал перевод слова с какого-то китайского сервера. Бедные китайцы переводившие текст со словами «демократия», «свобода слова» и «долой коммуняг» :)

anonymous
()
Ответ на: комментарий от sdio

> нужен удобный механизм перевода приложений из одной категории в другую на уровне DE или дистрибутива.

Об этом и речь.

anonymous
()

Если абстрагироваться от тупой постановки задачи, то тебе нужно что-то типа snort или suricata.

madcore ★★★★★
()
Ответ на: комментарий от anonymous

Не совсем об этом речь. Смысл в том, чтобы не делать интерактивное непонятно что, заранее разделить приложения на доверенные и все остальные.

sdio ★★★★★
()
Ответ на: комментарий от CTAPK

напишите ТЗ

ибо я сам сижу без фурвола и не очень сведущ в вопросах «что надо».

хотелось бы видеть список типовых задач, которые надо решать, желательно с указанием приоритетности.

ckotinko ☆☆☆
()
Ответ на: комментарий от sdio

> Смысл в том, чтобы не делать интерактивное непонятно что, заранее разделить приложения на доверенные и все остальные.

Так нужна более точная настройка. Вот запустил я StarDict, всплыло окошко:

Stardict подключается на lingvo.ru:80.

Ok, разрешаем.

Далее видим:

Stardict подключается на red-flag.ch:666.

Ну его нафиг.

Удобнее же, чем сидеть непонятные логи мониторить.

anonymous
()
Ответ на: комментарий от CTAPK

В QT не силён, но книжкой обзавёлся, потому морда для QT будет чуть позже. Но зависимость от Glib 2.28.1 и linux будет у демона, который будет следить за сетью.

ckotinko ☆☆☆
()
Ответ на: комментарий от anonymous

Удобнее же, чем сидеть непонятные логи мониторить.

Удобнее

sdio ★★★★★
()

>Ещё раз: надо, чтобы при попытке доступа процесса к сети встплывало сообщение в иксах, спрашивающее, что надо делать.

У iptables есть target QUEUE, есть графические приложения (тот же firestarter), которые следят за такими событиями и выполняют действия (всплывающее окно с запросом).

Но если ты хочешь «как в винде» - имхо, не получится.

Можно использовать LD_PRELOAD: http://www.linux.org.ru/jump-message.jsp?msgid=3266778&cid=3266795

Можно использовать mod owner и ограничивать доступ исходя из uid/gid

router ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.