Дополнительный Firewall в Linux

[garik]

Есть вопрос насколько критична установка дополнительного firewall для Linuxа (к примеру firestarter для Ubuntu,если плохо разбираешься в iptables)?Насколько с в курсе в Linuxе по умолчанию стоит iptables надо ли его после установки системы дополнительно настраивать или для домашней машины и так пойдёт?Честно говоря сколько не пробывал разобратсс толком пока не понял читал на opennet статью"настройка iptables для чайников" но пока ещё не разобрался что к чему.

[cargo]

с... а для чего firewall-то? если нет ни одного открытого порта....... 

[Chrome]

с... а для чего firewall-то? если нет ни одного открытого порта.......

Ага, и интернета нет тоже.

garik
Я думаю стОит установить. У меня Firestarter давно стоит, за каждую интернет-сессию регистрирует кучу всякой всячины. Так что мало-ли...

[garik]

Провёл онлайн проверку на предмет открытых портов вроде все порты закрыты.Интересно а если открываешь порты для Осла или торрента как сделать что бы стими портами только эти программы пользовались?Например в настройках графического firrewall (firestarter)указывается для какой программы открываются порты а как в iptables это сделать?

[Chrome]

Как бы вот сделать, чтобы можно было заблокировать выход в инет для определённых программ? Так же, как делает, например, ZoneAlarm в Windows.

[Chrome]

bobrik, aledie. Умники, блин
Так можно заблокировать выход в инет для определённых программ или нет?
Ответы про google принимаются только со строкой запроса.

[aledie]

Так можно заблокировать выход в инет для определённых программ или нет?
Ответы про google принимаются только со строкой запроса.

Например: http://tuxguardian.sourceforge.net/

[clx]

Как бы всех научить знаки припинания ставить...

Захотелось опсть побывать в рид-онли?

[bobrik]

Я может не заметил, просто две недели квасил.

[garik]

Да нафлудили дофига а по существу никто не ответил.Что у нас на форуме в iptables никто не разбирается чтобы ответить .

[Stalwart]

iptables - в сдре И абсослютно параллельно, чем его настраивать - одноимённой утилиткой или firestarterом (фс - всего лишь гуй для таблеток)

[garik]

Например в настройках графического firrewall (firestarter)указывается для какой программы открываются порты а как в iptables это сделать?

Спрашивалось как это сделать ручками из консоли без графической морды.

[skyrider]

Например в настройках графического firrewall (firestarter)указывается для какой программы открываются порты а как в iptables это сделать?

Спрашивалось как это сделать ручками из консоли без графической морды.

Можно блокировать исходсщий трафик по таким критерисм как UID, GID, PID, SID и по названию команды (wget, lftp и т.п.). Всё это делается через модуль owner в iptables. Вот цитата из мана iptables:

owner
       This module attempts to match various  characteristics  of  the  packet
       creator, for locally-generated packets.  It is only valid in the OUTPUT
       chain, and even this some packets (such as  ICMP  ping  responses)  may
       have no owner, and hence never match.

       --uid-owner userid
              Matches  if  the  packet was created by a process with the given
              effective user id.

       --gid-owner groupid
              Matches if the packet was created by a process  with  the  given
              effective group id.

       --pid-owner processid
              Matches  if  the  packet was created by a process with the given
              process id.

       --sid-owner sessionid
              Matches if the packet was created by a process in the given ses-
              sion group.

       --cmd-owner name
              Matches  if  the  packet was created by a process with the given
              command name.  (this option is present only if iptables was com-
              piled under a kernel supporting this feature)

[TheMixa]

[offtopic]Зачем ставить Linux и превращать его потом в винду? Если и настраивать то из "консоли", будь то фаервол,сервис или какойто девайс, т.к. раз разобравшись потом сделаешь это сколько угодно раз на любом дистре и не будешь завистеть от всяких приблуд, который в каждом дистре свои и глючны по своему[/offtopic]

А по существу, если надо ограничивать трафик  по процесам то по большому счету есть только смыл запретить всем и разрешить конкретным но не наоборот...

[xxxYURAxxx]

firestarter без dhcp server`a не работает?