LINUX.ORG.RU

Ограничение доступа в интернет для приложений


0

1

Подскажите GUI приложение для ограничения доступа в интернет для определенных программ. Чтобы при попытке софтины выйти в сеть появлялось сообщение с запросом на разрешение/блокировку доступа в сеть. Стоит Ubuntu 11.

Чтобы при попытке софтины выйти в сеть появлялось сообщение с запросом на разрешение/блокировку доступа в сеть.

Это как в вендовых файрволах/антивирусняках? Буэ...

Читайте об AppArmor, выбирайте гуи к iptables (Gufw) ... Что ещё сказать. Вообще непонятно, зачем это нужно, объяснили бы... Чтоб на венду смахивало?
При грамотной настройке firewall'a (закрыть всё, открыть только то, что реально нужно, как в incoming trafic, так и в outgoing trafic) такая хрень не нужна.

adriano32 ★★★ ()
Ответ на: комментарий от tn1

у меня дорогой инет через мобилку, хочу ограничить некоторый надоедливый софт

h0lder ()
Ответ на: комментарий от h0lder

Примеры надоедливого софта в студию -гарантирую, у всего списка есть настройки, в которых можно запретить ему доступ или ограничить

anonymous ()
Ответ на: комментарий от tn1

>PS bash + sudo + iptables + dialog + urxvt
С iptables разве можно различать приложения, если у них один UID?
Плюсую apparmor, вариант — tomoyo. В сети вполне могут быть готовые костыли для этого.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

на сколько помню, то iptables не умеет фильтровать процессы, поэтому AppArmor/Tomoyo (первое вроде более стабильно). На счет гуя хз, поскольку для AppArmor правила руками писал на нужные мне приложения

SlothSpot ()
Ответ на: комментарий от x3al

Маны я не читал, но -m owner припоминаю.

PS как то так --cmd-owner name/--pid-owner pid

tn1 ()
Ответ на: комментарий от tn1

>PS как то так --cmd-owner name/--pid-owner pid
И эти PID'ы добавлять в рулезы при каждом запуске каждого приложения? Я бы посмотрел на реализацию этого на десктопе.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

Да ещё и удалять при смерти приложения. И делать что-то с трэдами.

x3al ★★★★★ ()
Ответ на: комментарий от h0lder

>ограничить некоторый надоедливый софт

Это совсем просто:

sudo bash -c 'echo 127.0.0.1 linux.org.ru >> /etc/hosts'

gentoo_root ★★★★★ ()
Ответ на: комментарий от x3al

>И эти PID'ы добавлять в рулезы при каждом запуске каждого приложения? Я бы посмотрел на реализацию этого на десктопе.

В прошлом у iptables был замечательный ключ --cmd-owner, позволявший фильтровать пакеты по названию бинарника. Но потом его за каким-то чёртом выпилили.

AX ★★★★★ ()
Ответ на: комментарий от tn1

Выпилен из-за проблем с SMP. По состоянию на 3.0 отсутствует в дереве напрочь.

x3al ★★★★★ ()
Ответ на: комментарий от Alan_Steel

> А зачем это нужно?

Когда только перешёл с форточек, тоже страдал от отсутствия подобной возможности. Постоянно был запущен iptraf и следил за неопознанными подключениями. Постоянно дёргался проверять что за процесс подключился к странному хосту.
В венде то и дело всякий софт постоянно пытается выйти в сеть зачем то. В основном этим страдает всякий коммерческий софт, лезут на серверы своего производителя. И не во всех этих программах есть возможность отключить проверку обновлений и прочую фигню.
Так вот, когда под линукс будут массово выпускать коммерческие приложения, эта проблема будет и тут и возникнет острая необходимость в вендоподобном интерактивной файрволе.

firestarter ★★★☆ ()
Ответ на: комментарий от firestarter

А зачем это нужно?

Так вот, когда под линукс будут массово выпускать коммерческие приложения, эта проблема будет и тут

ничего нового: в софте для линукс такого функционала нет - значит не нужно :)

xtraeft ★★☆☆ ()
Ответ на: комментарий от firestarter

Из реп софт надо ставить, тогда и обновляться они будут автоматически в инет лишний раз не сунутся. Пример, Virtualbox (PUEL).

unikum ★★★★★ ()

Меня тоже всегда удивляло, что такой возможности штатными средствами считай что не предусмотрено. Если все хорошо, то ок. Ну а если приложение поломали? Например, через какую-небудь уязвимость в evince с помощью хитрожопой пдфки получили возможность выполнить произвольный код. Тогда тот-же эвинс можно заставить законнектиться к удаленному серверу и, например, слить документы из ~ или нажатые клавиши. В общем, увеличивается количество дыр, через которые можно скачать пользовательские данные. Понятно что пример с evince довольно идиотский, но мысль ясна. Где я не прав?

gaga ()
Ответ на: комментарий от firestarter

Зачем же ставить настолько криво написанные приложения, что они выходят в интернет по каким-то своим внутренним надобностям без явного разрешения пользователя?

Впрочем, думаю что если проблема возникнет, то появится и её решение :)

Alan_Steel ★★ ()
Ответ на: комментарий от xtraeft

Ты перепутал местами начало и конец логической цепочки. Никому не нужно - софт никто не пишет - софта нет. В обратном направлении не всегда верно.

Alan_Steel ★★ ()
Ответ на: комментарий от Alan_Steel

антивирус для линукс десктопов тоже не нужен, а ведь пишут и продают

xtraeft ★★☆☆ ()
Ответ на: комментарий от xtraeft

Ненужен это только если голова на плечах есть. А так никто не мешает ставить вредоносные расширения к файрфоксу, вводить rm -rf / итп.

Alan_Steel ★★ ()
Ответ на: комментарий от Alan_Steel

> Зачем же ставить настолько криво написанные приложения, что они выходят в интернет по каким-то своим внутренним надобностям без явного разрешения пользователя?

Ставят, значит надо.
Так поступают очень много программ, и дорогих, и дешёвых, и фриварных.
Некоторые лезут не только за проверкой обновлений, но и просто уведомить производителя что их запустили.
Помню у меня Sound Forge зачем то лез на сервер Sony, в настройках не нашёл ничего что могло бы отключить это.

firestarter ★★★☆ ()
Ответ на: комментарий от unikum

> Из реп софт надо ставить, тогда и обновляться они будут автоматически в инет лишний раз не сунутся. Пример, Virtualbox (PUEL).

Программы суются в сеть не только за обновлениями.

firestarter ★★★☆ ()
Ответ на: комментарий от firestarter

Даже если программы суются в сеть за обновлениями меня это не устроит. Трафик жутко дорогой.
Жаль что по теме было мало сообщений.
За apparmor, tomoyo, leopardflower спасибо.
Но хотелось бы еще увидеть посты по теме вопроса.

h0lder ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.