Я тоже такое хочу. Но такого нет. Линуксоиды мотивитруют это тем, что iptables надо настраивать в консоли, а графические морды - не-Ъ.

Сейчас в тред набегут с крикам «не нужно».

Вы не поняли. для настройки тупо iptables есть куча гуёв. Мне нужно именно СОБЫТИЙНОЕ реагирование на попытку доступа в сеть. Такое точно есть, но через консоль grsecurity, причём там идёт сразу действие запрет/разрешение с занесением в лог, а не откладывание действия до момента решения пользователя.

Нужно, но нету.

да, ещё сейчас скажут что-нибудь типа «не страдай паранойей», «используй венду, если тебе так надо», «если тебе нужна безопасность, то перейди на openbsd», «в линуксе всё безопасно, поэтому смысла в данной проге нет для десктопа» :)

В Мандриве есть встроенный interactive firewall

Еще можешь попробовать какой-нить firestarter

Нет такого.

но в firestarter только настройка правил, уведомлений нет

есть, см выше

Было firestarter но уже нету потому как оно много лет R.I.P.

> есть, см выше

Это не то, что надо.

Тут скорее ближе всего SELinux, но это жуткий оверкилл.

>Это не то, что надо.

Мандривный файрвол показывает уведомления, когда кто-то сканит порты или подключается к открытому. Насчет фильрации исходящего трафика ничего не знаю, так как никогда не требовалась

я уже сказал про grsecurity, в selinux вообще нету возможности работы с tcp/ip. но это не то

он имеет какое-то название, кроме interactive firewall (его называл К.О.?)?

> я уже сказал про grsecurity, в selinux вообще нету возможности работы с tcp/ip. но это не то

Что grsecurity, что selinux - одна фигня, задачи одинаковые. И есть там работа c tcp/ip.

http://wiki.mandriva.com/en/Projects/Interactive_Firewall я тоже думаю над этим вопросом

http://wiki.mandriva.com/en/Projects/Interactive_Firewall

опоздал, я первый был :Р

http://tuxguardian.sourceforge.net/screenshot.png собственно, это как-раз то, вроде

http://doc.ubuntu-fr.org/_media/tuxguardian_popup.png

но тут нельзя диапазон адеров указать. тупо: да или нет.

1) файрволлы уровня приложений не нужны

2) есть systrace

3) есть l7-filter для iptables

4) пиши свое, inotify в помощь

ну, как всегда, можно упрекнуть в несостоятельности аудиторию лора)

целых три проекта:

http://blogs.warwick.ac.uk/bweber/entry/interactive_firewalls/

http://www.giacomos.it/iqfire/index.html ( http://sourceforge.net/projects/ipfire-wall/ http://www.youtube.com/watch?v=5C9N-_IDmac )

http://tuxguardian.sourceforge.net/

тебе компьютер тоже не нужен, вероятно, если ты критично мыслишь, ссылаясь только на свои стереотипы ;)

за ststrace спасибки, даже знаю, где его можно применить по достоинству

> Визуальный фаервол

На пьяную голову представились прыщавые очкастые хакеры, бьющиеся головой о кирпичную стену. И все это во всплывающем окошке.

а для grsecurity есть ебилды? Тоже хочу что-то похожее, что в этом топике...

у гентушников вообще есть профиль hardened gentoo, где все свистоперделки безопасности уже есть и с настройкий причем. http://ru.wikipedia.org/wiki/Hardened_Gentoo

но если тебе нужен именно фаервол на доступ приложений к сети, то см ссылки выше, grsecuriry тебе тут не будет удобен.

На своем компьютере я знаю, какая программа куда ходит и зачем. А если у вас explorer.exe без спросу ломится на виндусьапдейт.ком за новой порцией drm, то это ваши проблемы

Я раньше (несколько лет назад) как делал... настраивал iptables с журналированием... чтобы при попытке доступа «куда-не-надо» писалось в журнал. И мониторил dmesg.

Неудобство в том, что замусоривал dmesg - не нашёл способа в отдельный файл журнал писать.

Ну и опять же... надо самому думать, по какому принципу в журнал писать. Например, такой вариант - запретить всё по умолчанию (любой доступ в сеть, кроме того, что нужно), а попытки доступа куда-не-надо записывать. И потом по этим записям думать, а что бы мне в исключения прописать...

UNIX Way такой UNIX Way.

я тебе выше написал вменяемые решения. то, что ты сказал firestarter делает,только с гуями и гламурно)))

и ещё 2-мя кликами можно потом правило для разрешни доступа создать

Но зачем? Задача файрвола не пускать извне, а не изнутри.

Наверно это на случай безумия. Если сбесится система, посходят с ума программы, озвереют скрипты, то доблестный фаервол встанет на защиту против утечки данных.

для чего такое может понадобится? разве что для отслеживания руткитов, и то врядли

ktulhu666> визуальные фаерволы, реагирующие на события (попытку программы установить соединение с удаленным хостом, dns-запросы) и производящие последующее обучение, основываясь на ответах?

Можно use case? Или я угадаю: у тебя пиратский софт, который ты не хочешь пускать в интернет.

1. Если так, то просто, если ты не можешь от него отказаться, запускай его под отдельным юзером и для этого юзера закрой доступ в интернет при помощи iptables.

2. Если нет, то таки давай use case, т.к. у меня никогда не возникало такой потребности и мне просто интересно.

> ну, как всегда, можно упрекнуть в несостоятельности аудиторию лора)

Во дурак. Это наколенные, давно заброшенные поделки, которые не решают твои задачи. Они не контролируют отдельные приложения.

> 2. Если нет, то таки давай use case, т.к. у меня никогда не возникало такой потребности и мне просто интересно.

Мне тоже это сильно не нужно, но было бы полезно.

Ошибки программиста, мейнтейнера, юзера - все это может вести при свободном доступе к сети к последствиям различной тяжести.

Вот, кстати, недавно мне kchmviewer на debian stable выдал: «A new version 5.3 of Karaoke Lyrics Editor is available!»

Самая простая идея: выделить приложения, которым безусловно разрешить доступ в интернет/сеть и запускать их от имени юзера, которому доступ в интернет разрешен на уровне iptables, реальный же юзер доступа в интернет не имеет.

Технически реализовать это легко, но на данном этапе это сложно организовать, т.к. нужен удобный механизм перевода приложений из одной категории в другую на уровне DE или дистрибутива.

Вот еще примерчик вспомнил.

StarDict в старом дебиане по-умолчанию запрашивал перевод слова с какого-то китайского сервера. Бедные китайцы переводившие текст со словами «демократия», «свобода слова» и «долой коммуняг» :)

> нужен удобный механизм перевода приложений из одной категории в другую на уровне DE или дистрибутива.

Об этом и речь.

Если абстрагироваться от тупой постановки задачи, то тебе нужно что-то типа snort или suricata.

Не совсем об этом речь. Смысл в том, чтобы не делать интерактивное непонятно что, заранее разделить приложения на доверенные и все остальные.

если нужно, нарисую

это это будет на GTK(причем на 3.0). нужно?

На Qt было бы лучше. Но и на gtk сойдёт.

напишите ТЗ

ибо я сам сижу без фурвола и не очень сведущ в вопросах «что надо».

хотелось бы видеть список типовых задач, которые надо решать, желательно с указанием приоритетности.

> Смысл в том, чтобы не делать интерактивное непонятно что, заранее разделить приложения на доверенные и все остальные.

Так нужна более точная настройка. Вот запустил я StarDict, всплыло окошко:

Stardict подключается на lingvo.ru:80.

Ok, разрешаем.

Далее видим:

Stardict подключается на red-flag.ch:666.

Ну его нафиг.

Удобнее же, чем сидеть непонятные логи мониторить.

В QT не силён, но книжкой обзавёлся, потому морда для QT будет чуть позже. Но зависимость от Glib 2.28.1 и linux будет у демона, который будет следить за сетью.

Удобнее же, чем сидеть непонятные логи мониторить.

Удобнее

>Ещё раз: надо, чтобы при попытке доступа процесса к сети встплывало сообщение в иксах, спрашивающее, что надо делать.

У iptables есть target QUEUE, есть графические приложения (тот же firestarter), которые следят за такими событиями и выполняют действия (всплывающее окно с запросом).

Но если ты хочешь «как в винде» - имхо, не получится.

Можно использовать LD_PRELOAD: http://www.linux.org.ru/jump-message.jsp?msgid=3266778&cid=3266795

Можно использовать mod owner и ограничивать доступ исходя из uid/gid