Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Посоветуйте правила фаервола,чтобы выход в инет был только у нескольких программ  (Прочитано 979 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн AlekseyUbuntu

  • Автор темы
  • Активист
  • *
  • Сообщений: 317
    • Просмотр профиля
В этой статье предлагается ограничить доступ только для сервисов (разрешаются только соединения по портам из диапазона 32768:65535):

# Generated by iptables-save v1.6.0 on Thu Apr  6 10:07:07 2017
*filter
:INPUT DROP [26:6001]
:FORWARD DROP [0:0]
:OUTPUT DROP [120:11252]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:65535 -j ACCEPT
COMMIT
# Completed on Thu Apr  6 10:07:07 2017


Я же хочу ограничить все соединения, кроме небольшого перечня приложений: Mozilla Firefox, qbittorrent и Цент программ.

Если я пропустил важное приложение / сервис без чего система будет работать через раз, то прошу посоветовать.

Какие правила для файрвола нужно установить?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
netfilter не различает приложения и пользователей.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн AlekseyUbuntu

  • Автор темы
  • Активист
  • *
  • Сообщений: 317
    • Просмотр профиля
netfilter

Ну может как-то можно установить постоянные порты для нужных приложений и открыть только эти порты (а не диапазон 32768:65535)?


Оффлайн AlekseyUbuntu

  • Автор темы
  • Активист
  • *
  • Сообщений: 317
    • Просмотр профиля
gufw

Это только GUI- мордашка. Вопрос то, в настройках, которые нужно сделать.

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1445
    • Просмотр профиля
Вопрос то, в настройках, которые нужно сделать

гугл забанили?

настройка gufw

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
bezbo, а Вы сами-то читали?
Или увидели названия браузеров и посчитали, что это то что нужно ТС?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн archuser

  • Активист
  • *
  • Сообщений: 588
    • Просмотр профиля
На форуме тема уже поднималась: см. здесь

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27433
    • Просмотр профиля
Просто удалите сомнительные приложения. Ведь это так просто.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн AlekseyUbuntu

  • Автор темы
  • Активист
  • *
  • Сообщений: 317
    • Просмотр профиля
гугл забанили?

настройка gufw

Заблокировал 80 порт- Цент программ Discover + Mozilla не имеют доступа в сеть
Разблокировал 80 порт- оба приложения параллельно работают с сетью (пока Discover инсталит игрушку, Mozilla показывает youtube- ролик).

Так что это не то.

archuser, спасибо! сейчас изучаю SELinux, который нашел по вашей ссылке.
« Последнее редактирование: 07 Апрель 2017, 14:02:52 от AlekseyUbuntu »


Оффлайн AlekseyUbuntu

  • Автор темы
  • Активист
  • *
  • Сообщений: 317
    • Просмотр профиля
AppArmor и SeLinux- требуют создания политики на каждое приложение, которое потенциально может выйти в сеть. Придется постоянно трястись по поводу любой установленной программы (и нет гарантии, что случайно что-то не будет проинсталенно). Так что это дырявый вариант.

А если установить права на файл устройства работы с сетью? То есть ограничение создать не на порты, а на доступ к файлу?

Есть какие-то предложения как это можно сделать?

 

Страница сгенерирована за 0.245 секунд. Запросов: 24.