Посоветуйте интерактивный фаверволл для Убунты

[barmaley99]

Всех приветствую! Посоветуйте интерактивный фаерволл с графическим интерфейсом, типа фаерволлов в Windows, такой чтобы для каждой попытки соединения любого запущенного процесса выдавал сообщение о попытке соединения показывал процесс пытающийся установить соединение и адрес желаемого им соединения, с возможностью для меня принять решение - дать процессу разрешение выйти в инет или нет, я понимаю что фаерволл в линуксах один - netfilter и утилита для него iptables, все остальное - надстройки, таковых надстроек я пересмотрел много но ничего нужного мне не нашел, есть GUFW например но он всего лишь открывает и закрывает порты для всех процессов, другие многие пересмотрел там примерно также, разве что в некоторых можно еще и конкретным службам открывать/закрывать порты и доступ, но ведь изначально после установки фаерволл любого линукса настроен в режиме полной блокировки всех входящих неиницированных собственными процессами системы соединений, и полного разрешения всех исходящих соединений собственных процессов, т.е. любой процесс, программа и т.д. получается могут свободно лазить в инет без разрешения и я даже знать об этом не буду а это не есть гуд.

[Dzhoser]

https://www.opensnitch.io

[AnrDaemon]

А зачем вы пользуетесь программами, которым не доверяете?…

[Dzhoser]

А зачем вы пользуетесь программами, которым не доверяете?…

Кто сказал что не доверяю?

[AnrDaemon]

Вы автор топика?

[Dzhoser]

Понял 

[barmaley99]

А зачем вы пользуетесь программами, которым не доверяете?…

А как можно доверять всему что есть в системе? Вы вот сами весь код ядра и всех установленных у вас пакетов изучали? И вообще хоть кто нибудь изучал? Откуда я знаю все в мелочах обо всех особенностях поведения системы и всех пакетов? Изначально ведь получается после установки системы все что есть в системе может неограниченно лазить в инет на любой адрес что угодно с компа отправлять куда угодно, это вовсе не безопасность. Можно конечно вручную с помощью iptables создать множество правил и заблокировать выход в инет всему чему хочется, но iptables сложноват в неспосредственной работе с ним, тем более новичкам.
В винде вот есть множество интерактивных фаерволлов и там я с помощью такового полностью заблокировал выход в инет всему лишнему, даже процессам системы, ничего обойдутся, то есть фактически открыл доступ в инет только конкретным программам которыми я пользуюсь для инета - браузер почтовый клиент и т.д., всему остальному выход в инет закрыт, и ничего все прекрасно работает.
Вот и в линуксе хочу также

[andytux]

В винде вот есть множество интерактивных фаерволлов и там я с помощью такового полностью заблокировал выход в инет всему лишнему

Святая простота. Так мелкомягкие тебе и разрешили себя заблокировать. Не для этого они подсадили тебя на свою систему.
Глянь хотя-бы это, чтоб спокойней спалось:
https://xakep.ru/2018/10/23/win10-privacy/
И Андроида у тебя наверно тоже нет.

[ecc83]

Вот и в линуксе хочу также

В линуксе, с мышетыкательными настройками я незнаю. А твоя задача решается так.

Создаёшь скрипт  в домашнем каталоге:

Код: [Выделить]

nano ~/no_inet_access
Копируешь этот такой код:

Код: [Выделить]

#!/bin/bash

sudo groupadd noinet
sudo usermod -aG noinet $USER

cat << EOF | sudo tee /etc/systemd/system/inet_access_blocking.service
[Unit]
Description=Internet access blocking
After=multi-user.target

[Service]
Type=oneshot
ExecStart=/sbin/iptables -A OUTPUT -m owner --gid-owner noinet -j DROP

[Install]
WantedBy=multi-user.target
EOF

sudo systemctl enable inet_access_blocking.service
sudo systemctl start inet_access_blocking.service

echo '#!/bin/bash' | sudo tee /usr/local/bin/noinet
echo 'sg noinet "$*"' | sudo tee -a /usr/local/bin/noinet
sudo chmod a+x /usr/local/bin/noinet
sudo reboot

Сохраняешь и выходишь.
Делаешь этот скрипт исполняемым:

chmod a+x ~/no_inet_access

Затем запускаешь его из терминала:

Код: [Выделить]

./no_inet_access

Он создаст новую службу и выполнит перезагрузку.

Если какой то программе нужно запретить выход в интернет, запускаешь её с префиксом 'noinet'

Например:

Код: [Выделить]

noinet firefox
Такой префикс можно вписать в ярлык приложения и запускать привычным, мышетыкательным способом.

 

[barmaley99]

Святая простота. Так мелкомягкие тебе и разрешили себя заблокировать

Извиняюсь конечно перед модератором за офтопик, Windows это уже к другому форуму относится, но все же добавлю свои пять копеек раз началось, знаю что у мелкомягких много всяких уловок и бэкдоров поэтому ихним брэндмауером и не пользуюсь, потому что система своим же брэндмауэром легко может управлять, особенно в этом старается вин 10ка, а пользуюсь агнитум аутпост закрытым на пароль, его и система обойти не может, проверял, да и впрочем любопытство разрабов системы к ее использованию юзерами это еще наименьшее из зол с которым можно столкнутся
Пользователь добавил сообщение 05 Января 2019, 18:24:57:

Такой префикс можно вписать в ярлык приложения и запускать привычным, мышетыкательным способом.

Спасибо конечно, такой вариант очень сгодится для отдельных программ, особенно для прог Wine'а, но это мало решает проблему, проблема с неконтролируемым выходом в инет из системы остается, еще не посмотрел правда прогу что человек посоветовал, opensnitch, но если он не поможет полностью то видимо остается выход только один - iptables.
Хотя ваш совет очень даже сгодится если сделать наоборот - изначально через iptables полностью закрыть выход в инет всему и создать ваш скрипт только наоборот для выхода в инет, и запускать то чему нужен инет через этот скрипт 

[ecc83]

проблема с неконтролируемым выходом в инет из системы остается

По моему, уважаемый, вы просто морочите голову
Система состоит из приложений, которые можете заблокировать. Либо фаерволом заблокируйте всё.

В винде вот есть множество интерактивных фаерволлов и там я с помощью такового полностью заблокировал выход в инет всему лишнему, даже процессам системы, ничего обойдутся

Зачем же вы на собой так издеваетесь? У вас же уже было "всё хорошо" ?

[barmaley99]

Зачем же вы на собой так издеваетесь? У вас же уже было "всё хорошо" ?

Хочу уйти из под ига мелкомягких, нравится мне линукс 

[AnrDaemon]

А зачем вы пользуетесь программами, которым не доверяете?…

А как можно доверять всему что есть в системе? Вы вот сами весь код ядра и всех установленных у вас пакетов изучали?

Я нет. Но другие люди изучали.
Будет нужно, пойду изучать сам, но пока мне достаточно того, что
1. все приложения стоят с открытым исходным кодом,
2. который на протяжении многих лет проверяется множеством независимых людей, знающих своё дело.

[Vikonrob]

Хочу уйти из под ига мелкомягких, нравится мне линукс 

Нравится линукс - пользуйся им как есть, а не тащи привычки из винды

[barmaley99]

Нравится линукс - пользуйся им как есть, а не тащи привычки из винды

Линукс как свободное ПО как раз таки и создан чтобы выйти за рамки ограничений и делать в нем что хочешь, а "пользоваться как есть" это как раз таки больше характерно для последователей мелкомягких, и это не привычки из винды а мое личное отношение к собственной информационной безопасности - хотите слепо всему что вам дается доверять ваше дело, я слепо ничему не доверяю
Пользователь добавил сообщение 06 Января 2019, 13:43:12:

Я нет. Но другие люди изучали.
Будет нужно, пойду изучать сам, но пока мне достаточно того, что
1. все приложения стоят с открытым исходным кодом,
2. который на протяжении многих лет проверяется множеством независимых людей, знающих своё дело.

Пускай знают свое дело, хотите слепо доверять неизвестно кому? Ваше дело, я сам эти коды не проверял и не проверю, некогда,а чужим кодам безгранично вытворять все что им вздумается на своем компе позволять не собираюсь