Какой лучший способ заблокировать доступ в сеть приложениям?

[Trevar]

Подскажите пожалуйста, какой наилучший способ "перекрыть воздух" приложению? Допустим я скачал калькулятор. И мне этот калькулятор нужен только чтобы считать, а не чтобы он лазил по интернетам сливая неизвестно что в гугл, амазон и ещё чёрт знает куда (а подобные вещи происходят, и настройки тут не всегда помогут - факт).

Как лишить приложения возможности лазить в интернет? Я понимаю так нужен файрволл какой-то, который заблокирует порты ему? Может в Ubuntu уже есть какие-то встроенные возможности, консольные комманды которые это могут сделать? В идеале вообще создать белый список из того, что может выходить в интернет, остальное ПО - лесом. Главное чтобы это не помешало самой системе обновяться и получать доступ к репозиториям.

Спасибо.
ТС не появлялся на Форуме более полугода по состоянию на 21/11/2019 (последняя явка: 15/04/2019). Модератором раздела принято решение закрыть тему.
--zg_nico

[edyan]

почитай про /etc/hosts.allow и /etc/hosts.deny

UPDATE: нет, этим можно запретить внешние соединения к службам (например ftp), но не когда программа сама инициирует соединение.

[Trevar]

нет, этим можно запретить внешние соединения к службам (например ftp), но не когда программа сама инициирует соединение.

Тогда не подходит, ибо как раз в том и дело что программы инициируют соедиенения причём по самым разным протоколам и неизвестно каким портам и адресам.

[izobara]

iptables в режим "Параноик" и все. 
Оставить только нужные порты и все. Это будет самый надежный способ 

[Punko]

Я понимаю так нужен файрволл какой-то, который заблокирует порты ему? Может в Ubuntu уже есть какие-то встроенные возможности, консольные комманды которые это могут сделать? В идеале вообще создать белый список из того, что может выходить в интернет, остальное ПО - лесом

Правильно понимаете.
Как уже сказали:

iptables в режим "Параноик" и все. 
Оставить только нужные порты и все. Это будет самый надежный способ 

ставите политики в drop для всех, кроме нескольких портов.
минимум 80, 443 порты - НTTP\HTTPS чтоб ходил.

Почитать можно здесь:

https://ru.wikibooks.org/wiki/Iptables

[archuser]

Punko, А если приложение как раз таки будет сливать всю инфу по 80-ому порту на неопределенные ip-адреса? Может лучше для этих целей использовать SELinux или AppArmor? Как считаете?

[Punko]

archuser, лучше - совместить.
Я не знаю за AppArmor, но СеЛинух для дефолтных, известных приложений работает корректно и сам по себе не пустит какую-то бяку.
Он иногда и НЕ бяку не пропускает.

[ConnaiSSant]

Punko, А если приложение как раз таки будет сливать всю инфу по 80-ому порту на неопределенные ip-адреса? Может лучше для этих целей использовать SELinux или AppArmor? Как считаете?

всегда хватало стандартной системы контроля доступа. Не знаю, чем вам сможет помочь selinux в данном случае.

UPD/// Selinux хорош, но кажется, что в вашем случае он не подойдет.

[archuser]

всегда хватало стандартной системы контроля доступа. Не знаю, чем вам сможет помочь selinux в данном случае.

Поделитесь знаниями, как Вы в рамках задачи ТС "перекроете воздух" приложению с помощью "стандартной системы контроля доступа"?

[ConnaiSSant]

всегда хватало стандартной системы контроля доступа. Не знаю, чем вам сможет помочь selinux в данном случае.

Поделитесь знаниями, как Вы в рамках задачи ТС "перекроете воздух" приложению с помощью "стандартной системы контроля доступа"?

Никак. Тем более, я не предлагал использовать ссдк. А вы предлагаете использовать selinux, с помощью которого не удасться решить нужды ТС.
Пользователь добавил сообщение 13 Февраля 2017, 13:58:54:

Подскажите пожалуйста

https://m.habrahabr.ru/post/82933/
Пользователь добавил сообщение 13 Февраля 2017, 14:02:17:А может быть и удасться с selinux. Вот, что нарыл:

https://m.habrahabr.ru/company/1cloud/blog/309696/

[Trevar]

минимум 80, 443 порты - НTTP\HTTPS чтоб ходил.

А если нужно чтобы работал мессенджер, vpn, ssh, торренты, apt-get/apt/ubuntu softwre, и в терминале host/dig/whois и т.д.?
И ещё, не совсем ясно по поводу iptables написано что прога для управления ipv4 ip6 / nat. А что по поводу других протоколов? Их сейчас тьма.

[Punko]

А что по поводу других протоколов? Их сейчас тьма.

Вот тут подробнее.

А если нужно чтобы работал мессенджер, vpn, ssh, торренты, apt-get/apt/ubuntu softwre, и в терминале host/dig/whois и т.д.?

Я ж не зря написал, что минимум.
apt использует 80/443, насколько я знаю.
Для нужных приложения колупаете ход и всё.
Добавляете по мере необходимости (53, 22, етс)