Есть ли аналог Comodo Firewall для Linux?

решений для изоляции много. вот чтобы жмакнуть мышкой и забыть наверно нет. запусти в виртуалке самое простое

Если бы... Этот софт не запускается в виртуалке.

Ну и там требования к ресурсам такие, что комп и не потянет. Я уже сам залез в виртуалку, а ту прогу оставил снаружи. При этом оставил себе интернет в виртуалке через сетевой мост, а снаружи все запретил. Но что-то мне подсказывает, что это не выход.

И еще, я так и не понял, вот как при таких настройках у меня все еще работает сеть в виртуалбоксе?!

https://i.imgur.com/5oHp5Kq.png

По описанию firejail подходит. https://manpages.debian.org/stretch/firejail/firejail.1.en.html

Можно со всех сторон всё запретить.

Огромное спасибо! Да, именно песочница, вот это, пожалуй, именно то, что мне нужно! Я никак сформулировать не мог.

Но там вроде дыр много было, уже залатали?

Про дыры хз. Там же по идее ядерные механизмы для запихивания программы в отдельные namespaces используются.

strace

Спасибо! Да я, в сущности, знаю, почему оно не запускается, там стоит защита именно от запуска в виртуалке. Плюс проверяется совпадение времени bios и системы, плюс смотрит на mac сетевой. Ну это как минимум, а дальше уже идет осмотр на предмет, а не виртуалка ли это вообще... То есть это не баг, а фича. И моих познаний уж точно не хватит, чтобы эту фичу обмануть, я даже пытаться не буду.

С application firewall в линуксах все традиционно печально, т.к. линуксоиды думают, что оно ненужно. Смотри apparmor, но это тот еще костыль.

Спасибо, посмотрю, кажется как раз то, что нужно. Как вариант совместить песочницу и файрвол.

Кстати, в том же gufw есть возможность сделать вот так:

https://i.imgur.com/L77z0xL.png

Но, как назло, предустановленные настройки только для qbittorrent.
Даже Chromium нет.

Про Дэб незнаю, в OpenSUSE есть SuSEfirewall2 - все настройки через гуй YaST, запрещает-разрешает всё что нужно и проги и порты и юзеров и всё скопом.

С разморозкой, там этого ничего больше нет, все заменили на стремный firewalld

так это поди просто название правила и к самому qbt отношения не имеет, просто открывает порт для всех желающих. нормального удобного решения для разрешения/запрета отдельному приложению ходить только в определенные места все еще нет. может с новыми ebpf хуками в stacked lsm кто-нибудь и сделает, но надежды мало

Вопрос, есть что-нибудь столь же понятное простому смертному, но для linux?

Есть вариант связки libcgroup + nftables. libcgroup создаёт группы по имени приложения, nftables применяет правила к пакетам по мета-признаку cgroup.

Настроить можно всё, что угодно, к примеру разрешить на ЛОР ходить через хромиум, и запретить через файрфокс и т.д. и т.п. Т.е. все правила фильтрации трафика в разрезе приложений.

Проблема только в «столь же понятное простому смертному», если простой смертный дружит с текстовыми конфигами, то ничего сложного. Насколько я знаю, систем управления такой связкой пока ещё нет.

Эти предустановленные настройки - просто заранее собранная информация о том, какой порт, какой протокол и т.д. использует программа. В итоге все равно все сводится к обычным фильтрам. Если нужна изоляция программы, то самые простые и ресурсоэффетивные способы - песочница и lxc. Чуть пожирнее - виртуалки типо qemu. Но они и поинтереснее, т.к. можно дрова накатить, не ограничен текущим ядром, можно железо прокинуть.

настройка всё равно через YaST2и всё там это есть