Посоветуйте правила фаервола,чтобы выход в инет был только у нескольких программ

[AlekseyUbuntu]

В этой статье предлагается ограничить доступ только для сервисов (разрешаются только соединения по портам из диапазона 32768:65535):

Код: [Выделить]

# Generated by iptables-save v1.6.0 on Thu Apr  6 10:07:07 2017
*filter
:INPUT DROP [26:6001]
:FORWARD DROP [0:0]
:OUTPUT DROP [120:11252]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:65535 -j ACCEPT
COMMIT
# Completed on Thu Apr  6 10:07:07 2017

Я же хочу ограничить все соединения, кроме небольшого перечня приложений: Mozilla Firefox, qbittorrent и Цент программ.

Если я пропустил важное приложение / сервис без чего система будет работать через раз, то прошу посоветовать.

Какие правила для файрвола нужно установить?

[fisher74]

netfilter не различает приложения и пользователей.

[AlekseyUbuntu]

netfilter

Ну может как-то можно установить постоянные порты для нужных приложений и открыть только эти порты (а не диапазон 32768:65535)?

[bezbo]

gufw

[AlekseyUbuntu]

gufw

Это только GUI- мордашка. Вопрос то, в настройках, которые нужно сделать.

[bezbo]

Вопрос то, в настройках, которые нужно сделать

гугл забанили?

настройка gufw

[fisher74]

bezbo, а Вы сами-то читали?
Или увидели названия браузеров и посчитали, что это то что нужно ТС?

[archuser]

На форуме тема уже поднималась: см. здесь

[AnrDaemon]

Просто удалите сомнительные приложения. Ведь это так просто.

[AlekseyUbuntu]

гугл забанили?

настройка gufw

Заблокировал 80 порт- Цент программ Discover + Mozilla не имеют доступа в сеть
Разблокировал 80 порт- оба приложения параллельно работают с сетью (пока Discover инсталит игрушку, Mozilla показывает youtube- ролик).

Так что это не то.

archuser, спасибо! сейчас изучаю SELinux, который нашел по вашей ссылке.

[ReNzRv]

AlekseyUbuntu,
http://vasilisc.com/rules_apparmor

[AlekseyUbuntu]

AppArmor и SeLinux- требуют создания политики на каждое приложение, которое потенциально может выйти в сеть. Придется постоянно трястись по поводу любой установленной программы (и нет гарантии, что случайно что-то не будет проинсталенно). Так что это дырявый вариант.

А если установить права на файл устройства работы с сетью? То есть ограничение создать не на порты, а на доступ к файлу?

Есть какие-то предложения как это можно сделать?