Ограничение доступа в интернет для приложений

шindoшs 7

А зачем это нужно?

По теме есть мысли?

Чтобы при попытке софтины выйти в сеть появлялось сообщение с запросом на разрешение/блокировку доступа в сеть.

Это как в вендовых файрволах/антивирусняках? Буэ...

Читайте об AppArmor, выбирайте гуи к iptables (Gufw) ... Что ещё сказать. Вообще непонятно, зачем это нужно, объяснили бы... Чтоб на венду смахивало?
При грамотной настройке firewall'a (закрыть всё, открыть только то, что реально нужно, как в incoming trafic, так и в outgoing trafic) такая хрень не нужна.

Он хочет «обучения» файрфола.

A Firestarter не умеет этого часом?

Вроде нет.

PS bash + sudo + iptables + dialog + urxvt

у меня дорогой инет через мобилку, хочу ограничить некоторый надоедливый софт

Примеры надоедливого софта в студию -гарантирую, у всего списка есть настройки, в которых можно запретить ему доступ или ограничить

>PS bash + sudo + iptables + dialog + urxvt
С iptables разве можно различать приложения, если у них один UID?
Плюсую apparmor, вариант — tomoyo. В сети вполне могут быть готовые костыли для этого.

http://sourceforge.net/projects/leopardflower/ ← первое, что сказал гугль.

на сколько помню, то iptables не умеет фильтровать процессы, поэтому AppArmor/Tomoyo (первое вроде более стабильно). На счет гуя хз, поскольку для AppArmor правила руками писал на нужные мне приложения

http://www.opennet.ru/docs/RUS/iptables/#EXPLICITMATCHES

Читать пункт 6.4.3.5

Маны я не читал, но -m owner припоминаю.

PS как то так --cmd-owner name/--pid-owner pid

>PS как то так --cmd-owner name/--pid-owner pid
И эти PID'ы добавлять в рулезы при каждом запуске каждого приложения? Я бы посмотрел на реализацию этого на десктопе.

Да ещё и удалять при смерти приложения. И делать что-то с трэдами.

>ограничить некоторый надоедливый софт

Это совсем просто:

sudo bash -c 'echo 127.0.0.1 linux.org.ru >> /etc/hosts'

я ещё и о bash писал.

PS cmd-owner — это не PID.

>И эти PID'ы добавлять в рулезы при каждом запуске каждого приложения? Я бы посмотрел на реализацию этого на десктопе.

В прошлом у iptables был замечательный ключ --cmd-owner, позволявший фильтровать пакеты по названию бинарника. Но потом его за каким-то чёртом выпилили.

Выпилен из-за проблем с SMP. По состоянию на 3.0 отсутствует в дереве напрочь.

Как страшно жить!

> А зачем это нужно?

Когда только перешёл с форточек, тоже страдал от отсутствия подобной возможности. Постоянно был запущен iptraf и следил за неопознанными подключениями. Постоянно дёргался проверять что за процесс подключился к странному хосту.
В венде то и дело всякий софт постоянно пытается выйти в сеть зачем то. В основном этим страдает всякий коммерческий софт, лезут на серверы своего производителя. И не во всех этих программах есть возможность отключить проверку обновлений и прочую фигню.
Так вот, когда под линукс будут массово выпускать коммерческие приложения, эта проблема будет и тут и возникнет острая необходимость в вендоподобном интерактивной файрволе.

А зачем это нужно?

Так вот, когда под линукс будут массово выпускать коммерческие приложения, эта проблема будет и тут

ничего нового: в софте для линукс такого функционала нет - значит не нужно :)

Из реп софт надо ставить, тогда и обновляться они будут автоматически в инет лишний раз не сунутся. Пример, Virtualbox (PUEL).

Меня тоже всегда удивляло, что такой возможности штатными средствами считай что не предусмотрено. Если все хорошо, то ок. Ну а если приложение поломали? Например, через какую-небудь уязвимость в evince с помощью хитрожопой пдфки получили возможность выполнить произвольный код. Тогда тот-же эвинс можно заставить законнектиться к удаленному серверу и, например, слить документы из ~ или нажатые клавиши. В общем, увеличивается количество дыр, через которые можно скачать пользовательские данные. Понятно что пример с evince довольно идиотский, но мысль ясна. Где я не прав?

Зачем же ставить настолько криво написанные приложения, что они выходят в интернет по каким-то своим внутренним надобностям без явного разрешения пользователя?

Впрочем, думаю что если проблема возникнет, то появится и её решение :)

Ты перепутал местами начало и конец логической цепочки. Никому не нужно - софт никто не пишет - софта нет. В обратном направлении не всегда верно.

антивирус для линукс десктопов тоже не нужен, а ведь пишут и продают

Ненужен это только если голова на плечах есть. А так никто не мешает ставить вредоносные расширения к файрфоксу, вводить rm -rf / итп.

> Зачем же ставить настолько криво написанные приложения, что они выходят в интернет по каким-то своим внутренним надобностям без явного разрешения пользователя?

Ставят, значит надо.
Так поступают очень много программ, и дорогих, и дешёвых, и фриварных.
Некоторые лезут не только за проверкой обновлений, но и просто уведомить производителя что их запустили.
Помню у меня Sound Forge зачем то лез на сервер Sony, в настройках не нашёл ничего что могло бы отключить это.

> Из реп софт надо ставить, тогда и обновляться они будут автоматически в инет лишний раз не сунутся. Пример, Virtualbox (PUEL).

Программы суются в сеть не только за обновлениями.

Даже если программы суются в сеть за обновлениями меня это не устроит. Трафик жутко дорогой.
Жаль что по теме было мало сообщений.
За apparmor, tomoyo, leopardflower спасибо.
Но хотелось бы еще увидеть посты по теме вопроса.