Фаервол в Ubuntu

Comodo умеет. А это вообще единственный вменяемый файерволл

Comodo беден настройками. Для оффтопика самый удобный файерволл это будка.

Я честно говоря не изучал различные проприетарные продукты по защите линукс в лице fw, av и тп. Разве, что недавно тестировал контроль целостности на rhel в виде дополнительного функционала входящего в состав антивирусного ПО, которое по сути своей защищает win пользователей ;-)

Но за инфо спасибо, хотя на их сайте написанно, что этот фаервол только для линейки win, или вы его и имели ввиду?

Это была очень смИшная шутка юмора? Да? Ну, тогда, япатсталом.

Евгений, залогинтесь!

Это у вас зонд от АНБ неправильные реакции на окружающую реальность вызывает.

Марк заботится о юзерах и не добавляет зонды от АНБ.

Расслабься. LSM и есть тот самый зонд АНБ. Но бурления по поводу его наличия утихли лет десять как уже... Хотя в свое время были весьма-весьма. Было несколько групп противников:

1. Это закладка АНБ.

2. Это средство нарушения GPL.

3. Это тормозит работу.

4. Спектр овладевания слишком мал.

Первые три пункта, как видишь, не подтвердились. 4-е пилят по крайне мере два своих проекта. Кстати, ТС может обратить на них внимание, хотя компромисса между объемом овладевания и производительностью нет.

Кстати запрос по ЛСМ вот что https://www.google.ru/search?client=opera&q=LSM&sourceid=opera&ie... выдает :)

Это http://i78.ltalk.ru/30/37/113730/13/2662313/lsm007090_cr0zzz.jpeg наверное не спроста.

Я именно это и имел ввиду - для вин это лучший файерволл.

Для линукса я долго искал нечто подобное. Не нашел. Все что пробовал гуевое было дерьмо. Решил запилить сам. Разобрался с iptables и понял что гуй мне нафик в этом дел не нужен. Считаю что именно поэтому нет вменяемых файерволов для линя - те кому он нужен не могут его создать потому что не знают iptables, те кто знает - не хотят ничего создавать. Я запилил себе удобный скрипт для настройки с конфигом и забыл - давно и удачно пользуюсь им везде.

Ловите проприераста!

Свободный софт на то и свободный, что ты можешь сам провести ревизию кода. Если не в состоянии - не используй данный софт/ОС.

ОК. Всегда рад прочитать хороший совет на ЛОРе. Пойду проводить ревизию, начну с ядра. Это ведь недолго, лет за 150 я управлюсь? Спасибо за умные советы, пиши ещё!

Окошко с вопросом не нужно, уведомление не нужно, новая активность не нужна потому что DROP.
iptables + netstat -tupnaveo/lsof -i + iptraf/iftop # Обычно хватает настроенного iptables.
Потом что-нибудь типа:

iptables -L -nv > /tmp/file.iptables  &&  ccze -A < /tmp/file.iptables |less -R

То, что хочет получить ТС позволяет отсечь трафик на определённые узлы.

Интересно, мне казалось, что самый оптимальный подход. Можно пояснить, почему бред?

потому что федора такое не умеет - потому и бред.
когда научится - сразу станет не бредом :)

Неиспользованием проприетарного софта.
Какие программы и какая у них сетевая активность?

да какие угодно, или свободный софт по твоему мнению не может лезть наружу?

На том, что код софта открыт. Если там трояны, их быстро заметят

сколько там последняя уязвимость в ядре, дающая рута жила, 3-4 года (если мне память не изменяет)?

Файрвол в linux не умеет разлчать траффик от разных приложений.

вот-вот, и даже из iptables выпилили фильтр по pid/appname. 2013 год на дворе, господа, а местные клоуны, не разобравшись в вопросе, все кричат «не нужно»

когда с твоего сервера прокинут бекконект на шелл злоумышленника, тогда и расскажешь как это легко переживается

скажи мне, почему ты всегда тыкаешь в то, что я адепт федоры?

Он забанит гугль и будет искать на бинге?

И это говорит пятизвёздочный? Вообще-то информация сливается не на основной сайт, а на другие узлы, как правило даже на других IP.

зашел на Лор, а тут такое.

+100500 (:

И он знает весь список? Или просто забанит всю автономную сеть гугля?

Обычно в таких случаях есть возможность забанить определённый IP.

Уязвимость — не троян. И фаерволл тут ничем бы не помог.

Помог бы, я гарантирую это.

В действительности все так и есть. Полностью согласен.
А Создателю темы порекомендую смотреть http://gufw.org, но сразу предупрежу, что гуями к firewall'ам, не пользовался

Когда я первый раз увидел Windows я был в ужасе от того как все неудобно и непонятно. Все эти гуи мыши... (до этого у меня был спектрум и я видел DOS - в нем было все очевидно). Я подумал что никогда не смогу этого освоить... Ошиблался - смог. Потом я увидел линь и пришел в ужас от консоли но на удивление легко вспомнил как хорошо жить без прослойки гуя. Я почему-то ему не доверяю - чувствую себя некомфортно когда надо наставивать что-то через гуй - потому что гуй его знает что он там в реальности впишет в конфиги. А так я вижу что я написал и знаю как это пашет - это дает уверенность. Ничего серьезного черз гуй делать нельзя - страшно и непонятно.

Уязвимость — не троян.

а преднамеренно внесенная уязвимость, хорошо скрытая? это я не согласился с мифом о том, что бекдор или уязвимость «быстро заметят» если код открыт.

Это да. Вот когда гуй, показывает вывод того, что оно делает, тогда да неплохо.
Вообще gui разные бывают. Но такую важную вещь как настройку того же firewall'а я без подробного output'а правила которые оно задает и способа активации, бы не доверил. Но когда знаешь и так, то лишние сущности естественно не нужно. gui чаще всего нужен при задании огромного количества однотипных действий, и какого-то рода относительного предсказуемого совмещения действий/событий между собой. Впрочем, да понесло уже не туда. Каждому свое, если задача и принципы позволяют...

А если гуевый фаервол содержит бекдоры, то как быть?

В контексте *nix firewall все равно у нас iptables, pf и т.д. (которые тоже кстати обертки) и если gui не open-source и без сорцов, то как минимум следует задуматься. В контексте же проприетарщины, все уже будет строится на доверии к конкретному вендору, его репутации, цене продукта, поддержки, на результатах внутреннего, внешнего аудита и т.д.

А даже ЗА, что под самую удобную для меня ОС, было как можно больше програм.

ты хотел сказать _качественных_ программ, к которым потом не надо ставить антивири и фаерволы?!

чтобы фаервол в убунту работал как в виндоус

Жрал память и ничего не делал? Спасибо, не надо.

Да-да, правильный фикс.

Окажи услугу, когда захочешь создавать такие темы на лоре нажми File-> Work offline.

Я запилил себе удобный скрипт для настройки с конфигом и забыл - давно и удачно пользуюсь им везде.

пардон, можно ознакомиться с сим скриптом? Хочется на идею взглянуть и перенять для себя что-нибудь.

Читал, что среди дополнений фаерфокса бывают трояны.

Запретишь firefox'у сетевую активность? Или таки будешь избегать беспорядочных половых контактовустановки всякой дряни?

http://sourceforge.net/projects/leopardflower/

виндовые фаерволы ... не умеют настраивать правила по диапазону портов, под каждый порт нужно создавать своё правило

Умеют. Например Agnitum Outpost умеет.