LINUX.ORG.RU

OpenSnitch — интерактивный сетевой экран

 , , ,


6

4

Представлен проект OpenSnitch, в рамках которого подготовлен свободный аналог проприетарного сетевого экрана Little Snitch.

Программа представляет собой интерактивную оболочку для подсистемы Netfilter ядра Linux, и обладает следующими возможностями:

  • Отслеживание сетевой активности приложений и различных процессов в режиме реального времени;
  • Вывод экранных уведомлений с подробной информацией о приложении, начавшем сетевую активность (имя процесса и его идентификатор, локальный IP адрес, IP адрес назначения, порт);
  • Гибкий механизм создания правил: блокировка или разрешение выхода в сеть всему приложению или одному конкретному процессу, учёт пользователей, хостов и портов; разрешения в рамках текущей сессии либо на постоянной основе;
  • Ведение подробной статистики блокировок и сетевой активности приложений.

Программа состоит из двух частей: системного демона, написанного на языке Go и работающего с правами root - opensnitchd, взаимодествующего с подсистемой Netfilter через libnetfilter-queue, вносящего изменения в правила Iptables и контролирующего сетевой трафик через libcap; графического интерфейса, построенного с использованием PyQt5 и работающего в непривелегированном режиме. Правила блокировок хранятся в формате JSON, взаимодействие графического интерфейса и системного демона осуществляется по протоколу gRPC.

>>> Подробности

★★★★★

Проверено: jollheef ()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от Odalist

Не за что. Доктора вызвать или это хроническое?

anonymous
()

контролирующего сетевой трафик через libcap

интересно, а как это работает? Это же про man 7 capabilities?

arcanis ★★★★
()
Ответ на: комментарий от ptarh

фигасе новость - софту доверять можно. а песочницы, наверное, бесполезная трата ресурсов

anonymous
()
Ответ на: комментарий от ptarh

как пример - макосевые icloud утилиты не понимают если они получают 403 от рабочего прокси и выжирают проц на 100%. little snitch как раз позволяет на работе полностью закрыть доступ для всего облачного, при этом в домашней сети все будет работать как обычно.

user_undefined
()

Интересно, а он просто уведомляет о сетевой активности, никак на неё не влияя, или временно приостанавливает работу приложения, пока пользователь не вынесет решение? Так-то на iptables несложно сваять пару скриптов, которые делают первый вариант, никаких программ тут не надо, а вот второй вариант, который обычно реализован в коммерческих фаерволах, я не представляю, как сделать. А то что толку от фаервола, если твои данные уже утекли.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

временно приостанавливает работу приложения, пока пользователь не вынесет решение?

Так и делает. Пока не скажешь чо делать с захотевшим прогуляться по сети приложением/процессом - фиг оно куда выйдет

Sunderland93 ★★★★★
() автор топика
Ответ на: комментарий от ptarh

Изобрели под Xerox PARC и имплементированы для юниксов, когда Линус еще пешком под стол ходил и штанишки пачкал.

И при чём тут венда?

Quasar ★★★★★
()
Ответ на: комментарий от anonymous

во-первых, это какбэ в xerox изобрели и жму/пинус как всегда не при делах

Почему вы, дебилы, читаете «в линуксе появилось раньше, чем в венде» как «изобретено в линуксе»?

Quasar ★★★★★
()
Ответ на: комментарий от LittleKawaiiNeko

Там слой совместимости подобный POSIX-слою в Windows NT, а не ядро.

Quasar ★★★★★
()
Ответ на: комментарий от mandala

Он про Outpost, а не про «межсетевой экран Windows».

Quasar ★★★★★
()
Ответ на: комментарий от anonymous

На самом деле application firewall это говно то ещё. Отследить трафик можно через нормальный файрвол, а недоверенное приложение лучше запускать в песочнице вроде firejail.

Quasar ★★★★★
()
Ответ на: комментарий от anonymous

Конкретно сабж использует netfilter и просто представляет собой интерактивную морду для него.

Quasar ★★★★★
()
Ответ на: комментарий от SakuraKun

На самом деле можно, если шаблоны для правил неправильные.

Quasar ★★★★★
()
Ответ на: комментарий от JL

а ещё где, кроме генты, используют selinux, да ещё для не избранных прог, а для всех подряд?

Самый неадекватный вопрос месяца.

Quasar ★★★★★
()
Ответ на: комментарий от Odalist

Это стандартная цыганская тактика: сказать потенциальной жертве, что поджидает её нечто ужасное, и предложить услуги.

Quasar ★★★★★
()
Ответ на: комментарий от Pyzia

В том, что iptables не умеет то, что умеет сабж. Кому-то для определённых задач это будет нужно. А для огораживания приложений всё равно песочницы лучше.

Quasar ★★★★★
()
Ответ на: комментарий от Legioner

Интересно, а он просто уведомляет о сетевой активности, никак на неё не влияя, или временно приостанавливает работу приложения, пока пользователь не вынесет решение? Так-то на iptables несложно сваять пару скриптов, которые делают первый вариант, никаких программ тут не надо, а вот второй вариант, который обычно реализован в коммерческих фаерволах, я не представляю, как сделать.

Это морда к netfilter, которая использует iptables и ограничивает неодобренный пользователем доступ к сетевым ресурсам. Блокирует только сетевые соединения, а несетевые способы слива данных по сети, как уже выше расписано было, эта штука блокировать не в состоянии и не должна. Если более кратко, то сам класс программ вроде сабжа - это дефективность по своей природе.

Quasar ★★★★★
()
Последнее исправление: Quasar (всего исправлений: 1)
Ответ на: комментарий от ptarh

Только виндузятников отучили палками от идеи, что от Application firewall есть какой-то толк

В iptables появились правила для cgroup, то есть для отделных приложений. Пока не пользуюсь, но некоторым нужны (чтобы отдельные приложения ходили только через VPN и забыли про обычную сеть, а сами тунеле-строители видили сеть нормально, что-то вроде tor браузера).

А про win firewall не вспоминай в старой оно работало после загрузки всей системы. В новой где даже косынка чтото отсылает, не вкурсе.

s-warus ★★★
()
Ответ на: комментарий от Quasar

где выше? или опять факт чтоли, педик недоделанный?

anonymous
()
Ответ на: комментарий от bender

Не прошло 15 лет, как на линуксе появился интерактивный фаервол.
Кто помнит, как такая же штука в середине 2000х называлась под виндой?

Толсто! Firestarter был как раз еще в середине 2000-х. Помню ставил себе поиграться, работал он вполне ок.

Tayler ★★
()
Ответ на: комментарий от Zlo

Вкладки в файловом менеджере и эмуляторе терминала. Умение запуска скриптов без показа окна эмулятора терминала, из коробки. Репозитарии.

Кстати, хоть сейчас винда в это научилась? Сторонний стим по последнему пункту не в счёт, т.к. он сторонний.

anonymous
()
Ответ на: комментарий от Tayler

он умел лишь никому не нужный блок портов, а блокирование конкретного бинарника не умел

anonymous
()
Ответ на: комментарий от anonymous

конечно же нет, хотя некое подобие репозиториев в винде пытаются сделать. мое мнение таково - всякой задаче свой инструмент.

Zlo ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.