LINUX.ORG.RU

Открыт исходный код файрвола Douane

 , ,


4

1

Разработчики межсетевого экрана Douane для GNU/Linux объявили об открытии исходных текстов. Douane предназначен для мониторинга сетевой активности и блокировки нежелательного трафика. Сетевой экран обладает наглядным интерфейсом и панелью для тонкой настройки правил. Douane блокирует неизвестный трафик и уведомляет о нем с помощью диалогового окна.

Межсетевой экран состоит из четырех основных частей:

  • модуль ядра douane-dkms — перехватывает исходящий сетевой поток для осуществления его блокировки;
  • фоновый процесс douane-daemon — отвечает за соблюдение правил о допустимости сетевой активности приложением;
  • douane-dialog — интерфейс для вывода уведомлений при неизвестной сетевой активности;
  • douane-configurator — предназначен для управления сетевым экраном.

Код открыт под лицензией GPLv2 и доступен для загрузки на GitHub.

>>> Исходный код на GitHub

>>> Официальный сайт

>>> Подробности

Вот если бы это был такой ня-ня-ня ГУЙ к iptables...

Valdor ★★ ()
Ответ на: комментарий от Valdor

Вот кстати странно. Для андроида-то сподобились гуй написать, с возможностью задания правил для приложений.

dogbert ★★★★★ ()

Для десктопной системы - то, что надо.

selivan ★★★ ()

Говнокод в эго DKMS модуле леденит душу... надеюсь если взлетит, то в него посмотрит какой-нибудь не-Руби программер и сделает всё красиво.

anonymous ()

Кстати, douane по-французски «таможня», шютку оценил.

anonymous ()

HIPSTERS RUIN EVERYTHING

Конфигуратор со встроенным твиттером. Приехали

yoghurt ★★★★★ ()

модуль ядра douane-dkms - перехватывает исходящий сетевой поток, для осуществления его блокировки;

Оно дублирует функциональность встроенного сетевого фильтра?

sin_a ★★★★★ ()

Я мечтал что однажды в Linux будет опенсорсный проект подобной направленности.

Идеалом для меня является agnitum outpost 10-летней давности, не сочтите за рекламу, просто концепция хорошая - можно добавлять доверенные программы, какие-то блокировать вообще, есть режим обучения и т.д.

Главное чтобы значок в трей не забыли...

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

Вот, кстати, действительно, развелось в наших линуксах всякого хипстерского говна, которое без спроса лезет в интернет на всякие левые сайты, теперь получается, что аутпост вполне себе нужен.

anonymous ()
Ответ на: HIPSTERS RUIN EVERYTHING от yoghurt

Re: HIPSTERS RUIN EVERYTHING

Это ещё ничего, а вот то, что он kfree() принципиально не вызывает, по-моему, куда более неприятно.

anonymous ()
Ответ на: комментарий от dogbert

Вот кстати странно. Для андроида-то сподобились гуй написать, с возможностью задания правил для приложений.

Для линукса уже написан и shorewall и firewalld

AVL2 ★★★★★ ()

не прошло и двадцати лет.

prizident ★★★★★ ()

Хм, а можно ли с его помощью запретить его же конфигуратору лезть в твиттер?

Barracuda72 ()
Ответ на: комментарий от I-Love-Microsoft

А я мечтаю о годной графической оболочке к apparmor.

anonymous ()

О! Похоже, это то, чего мне так не хватало.

Valkeru ★★★★ ()
Ответ на: комментарий от Adonai

Какой ты глазастый!!!11 А теперь найди 10 ошибок в netfiler_packet_hook() .

anonymous ()
Ответ на: комментарий от anonymous

Да я тоже заглянул.

Ставить однозначно не буду.

Adonai ★★★ ()
Ответ на: комментарий от sin_a

Оно дублирует функциональность встроенного сетевого фильтра?

Ага, а встроенный iptables нужен, чтобы это поделие никуда не лезло, друг за другом будут присматривать.

madcore ★★★★★ ()
Ответ на: комментарий от sin_a

Оно дублирует функциональность встроенного сетевого фильтра?

А как в линуксе сделать так, чтобы, например, пакет, который не заматчился ни по одному iptables правилу, приостановился (не дропнулся), вызвалось бы пользовательское приложение, которое бы сказало ядру по завершении - что делать с пакетом (ну и дополнительно переконфигурировало бы iptables при необходимости)?

Т.е. та самая функциональность вылезающего окошка. Естественно обязательно нужна информация о процессе, который вызвал этот трафик (если это исходящий пакет).

Legioner ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

Идеалом для меня является agnitum outpost 10-летней давности

А, собачья конура. Хороша. Но идеалом никак не назвать.

UNiTE ★★★★★ ()
Ответ на: комментарий от Legioner

Правильно, зачем нам увеличивать функционал существующего пакетного фильтра? Больше iptable'сов, хороших и разных. Пусть расцветает сто пакетных фильтров!

sin_a ★★★★★ ()
Ответ на: комментарий от UNiTE

Есть чо получше? В плане удобства интерфейса, удобства контроля?

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от Legioner

А как в линуксе сделать так, чтобы, например, пакет <…> вызвалось бы пользовательское приложение, которое бы сказало ядру по завершении - что делать с пакетом <…>?

NFQUEUE

Laz ★★★★ ()

Сетевой экран обладает наглядным интерфейсом

Это как? Через gui чтоли? А не-gui остался? по ssh то только cli можно.

cvs-255 ★★★★ ()

А причем тут web? Я думал это очередное говно с веб-интерфейсом.

alright ()
Ответ на: комментарий от anonymous

развелось в наших линуксах всякого хипстерского говна, которое без спроса лезет в интернет на всякие левые сайты

отучаемся говорить за всех

cvs-255 ★★★★ ()
Ответ на: комментарий от Legioner

Есть вариант (не помню, как зовется действие) использовать внешнее приложение для обработки пакета.

cvs-255 ★★★★ ()
Ответ на: комментарий от cvs-255

Насколько это юзабельно с практической точки зрения? Вот скачал я торрент, полез он в интернет, полетели тысячи пакетов во все стороны. Фаервол должен все эти тысячи пакетов от приложения остановить и один раз у юзера спросить, что, собственно, делать? Если он будет некое приложение тысячу раз запускать, тупо всё зависнет.

Как мне кажется, iptables хорош для сервера, где один раз всё настраивается и потом работает, но для outpost-like сценариев совершенно не приспособлен.

Legioner ★★★★★ ()
Ответ на: комментарий от sin_a

Правильно, зачем нам увеличивать функционал существующего пакетного фильтра? Больше iptable'сов, хороших и разных. Пусть расцветает сто пакетных фильтров!

Ну пусть будет больше, жалко что ли. В венде этих фаерволов как собак нерезанных, и никому это не мешает.

Legioner ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

С удобствами интерфейса было всё в порядке. А вот то что будка могла разорвать соединение или вызвать BSOD, была ещё та лотерея.

UNiTE ★★★★★ ()
Ответ на: комментарий от cvs-255

отучаемся говорить за всех

Я пока вижу, что у вас плохо получается, но старайтесь дальше.

anonymous ()
Ответ на: комментарий от Legioner

Если он будет некое приложение тысячу раз запускать, тупо всё зависнет.

Это целиком зависит от приложения.

Например, пока юзер не ответил, все остальные пакеты режем.

А еще вроде как в selinux можно настраивать доступ к сети для приложений.

cvs-255 ★★★★ ()
Последнее исправление: cvs-255 (всего исправлений: 3)
Ответ на: комментарий от Legioner

В венде этих фаерволов как собак нерезанных, и никому это не мешает.

Полно кривоподелий, мешающих работе сети.

cvs-255 ★★★★ ()

без скриноф нипанятно

GOD ★★★ ()
Ответ на: комментарий от cvs-255

по ssh то только cli можно.

4.2. man sshd в районе X11Forwarding. man ssh в районе -X.

dexpl ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

Тоже в своё время от Agnitium Outpost'а тащился, но потом его сделали платным.

carasin ★★★★★ ()

Открыт исходный код файрвола Douane

Ну всё, ждите весёлых новостей типа «обнаружена критическая уязвимость, для получения патчей переустановите дистрибутив».

Napilnik ★★★★★ ()
Ответ на: HIPSTERS RUIN EVERYTHING от yoghurt

Конфигуратор со встроенным твиттером.

концептуально...

AS ★★★★★ ()

Идеалом для меня является agnitum outpost 10-летней давности

Удобная штука была

rimsleur ()
Ответ на: комментарий от garik_keghen

)))))) ну с такими скринами все сразу стало понятно

GOD ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.