Открыт исходный код файрвола Douane

4

1

Разработчики межсетевого экрана Douane для GNU/Linux объявили об открытии исходных текстов. Douane предназначен для мониторинга сетевой активности и блокировки нежелательного трафика. Сетевой экран обладает наглядным интерфейсом и панелью для тонкой настройки правил. Douane блокирует неизвестный трафик и уведомляет о нем с помощью диалогового окна.

Межсетевой экран состоит из четырех основных частей:

модуль ядра douane-dkms — перехватывает исходящий сетевой поток для осуществления его блокировки;
фоновый процесс douane-daemon — отвечает за соблюдение правил о допустимости сетевой активности приложением;
douane-dialog — интерфейс для вывода уведомлений при неизвестной сетевой активности;
douane-configurator — предназначен для управления сетевым экраном.

Код открыт под лицензией GPLv2 и доступен для загрузки на GitHub.

Исходный код на GitHub

Официальный сайт

>>> Подробности

Ссылка

←	Firefox 29

Опубликована ранняя альфа-версия Lumina Desktop Environment

→

Вот если бы это был такой ня-ня-ня ГУЙ к iptables...

Valdor ★★
(28.04.14 21:20:23 MSK)

Ответ на: комментарий от Valdor 28.04.14 21:20:23 MSK

Вот кстати странно. Для андроида-то сподобились гуй написать, с возможностью задания правил для приложений.

dogbert ★★★★★
(28.04.14 22:17:16 MSK)

Для десктопной системы - то, что надо.

selivan ★★★
(29.04.14 11:59:07 MSK)

Ссылка

Говнокод в эго DKMS модуле леденит душу... надеюсь если взлетит, то в него посмотрит какой-нибудь не-Руби программер и сделает всё красиво.

anonymous
(29.04.14 12:00:28 MSK)

Ссылка

Кстати, douane по-французски «таможня», шютку оценил.

anonymous
(29.04.14 12:01:24 MSK)

Ссылка

HIPSTERS RUIN EVERYTHING

Конфигуратор со встроенным твиттером. Приехали

yoghurt ★★★★★
(29.04.14 12:04:56 MSK)

Годно

Sunderland93 ★★★★★
(29.04.14 12:05:36 MSK)

Ссылка

модуль ядра douane-dkms - перехватывает исходящий сетевой поток, для осуществления его блокировки;

Оно дублирует функциональность встроенного сетевого фильтра?

sin_a ★★★★★
(29.04.14 12:06:21 MSK)

Я мечтал что однажды в Linux будет опенсорсный проект подобной направленности.

Идеалом для меня является agnitum outpost 10-летней давности, не сочтите за рекламу, просто концепция хорошая - можно добавлять доверенные программы, какие-то блокировать вообще, есть режим обучения и т.д.

Главное чтобы значок в трей не забыли...

I-Love-Microsoft ★★★★★
(29.04.14 12:06:23 MSK)

Ответ на: HIPSTERS RUIN EVERYTHING от yoghurt 29.04.14 12:04:56 MSK

Ох лол, и правда.

AnDoR ★★★★★
(29.04.14 12:07:30 MSK)

Ссылка

Ответ на: комментарий от I-Love-Microsoft 29.04.14 12:06:23 MSK

Вот, кстати, действительно, развелось в наших линуксах всякого хипстерского говна, которое без спроса лезет в интернет на всякие левые сайты, теперь получается, что аутпост вполне себе нужен.

anonymous
(29.04.14 12:19:00 MSK)

Ответ на: HIPSTERS RUIN EVERYTHING от yoghurt 29.04.14 12:04:56 MSK

Это ещё ничего, а вот то, что он kfree() принципиально не вызывает, по-моему, куда более неприятно.

anonymous
(29.04.14 12:19:42 MSK)

Ответ на: комментарий от I-Love-Microsoft 29.04.14 12:06:23 MSK

agnitum outpost

Вот так вспомнил :)

garik_keghen ★★★★★
(29.04.14 12:22:02 MSK) автор топика

Ссылка

Ответ на: комментарий от dogbert 28.04.14 22:17:16 MSK

Вот кстати странно. Для андроида-то сподобились гуй написать, с возможностью задания правил для приложений.

Для линукса уже написан и shorewall и firewalld

~~AVL2~~ ★★★★★
(29.04.14 12:26:41 MSK)

Ссылка

не прошло и двадцати лет.

prizident ★★★★★
(29.04.14 12:36:31 MSK)

Ссылка

Ответ на: комментарий от anonymous 29.04.14 12:19:42 MSK

Вызывает. Строка 379, строка 429...

kfree(iter);

Adonai ★★★
(29.04.14 12:48:35 MSK)
Последнее исправление: Adonai 29.04.14 12:49:15 MSK (всего исправлений: 1)

Хм, а можно ли с его помощью запретить его же конфигуратору лезть в твиттер?

Barracuda72 ★★
(29.04.14 12:50:22 MSK)

Ссылка

Ответ на: комментарий от I-Love-Microsoft 29.04.14 12:06:23 MSK

А я мечтаю о годной графической оболочке к apparmor.

anonymous
(29.04.14 12:58:26 MSK)

Ссылка

О! Похоже, это то, чего мне так не хватало.

~~Valkeru~~ ★★★★
(29.04.14 13:05:25 MSK)

Ссылка

Ответ на: комментарий от Adonai 29.04.14 12:48:35 MSK

Какой ты глазастый!!!11 А теперь найди 10 ошибок в netfiler_packet_hook() .

anonymous
(29.04.14 13:16:23 MSK)

Ответ на: комментарий от anonymous 29.04.14 13:16:23 MSK

Да я тоже заглянул.

Ставить однозначно не буду.

Adonai ★★★
(29.04.14 13:17:18 MSK)

Ссылка

Ответ на: комментарий от sin_a 29.04.14 12:06:21 MSK

Оно дублирует функциональность встроенного сетевого фильтра?

Ага, а встроенный iptables нужен, чтобы это поделие никуда не лезло, друг за другом будут присматривать.

madcore ★★★★★
(29.04.14 13:23:17 MSK)

Ссылка

Ответ на: комментарий от sin_a 29.04.14 12:06:21 MSK

Оно дублирует функциональность встроенного сетевого фильтра?

А как в линуксе сделать так, чтобы, например, пакет, который не заматчился ни по одному iptables правилу, приостановился (не дропнулся), вызвалось бы пользовательское приложение, которое бы сказало ядру по завершении - что делать с пакетом (ну и дополнительно переконфигурировало бы iptables при необходимости)?

Т.е. та самая функциональность вылезающего окошка. Естественно обязательно нужна информация о процессе, который вызвал этот трафик (если это исходящий пакет).

~~Legioner~~ ★★★★★
(29.04.14 13:32:50 MSK)

Ответ на: комментарий от I-Love-Microsoft 29.04.14 12:06:23 MSK

Идеалом для меня является agnitum outpost 10-летней давности

А, собачья конура. Хороша. Но идеалом никак не назвать.

UNiTE ★★★★★
(29.04.14 13:43:58 MSK)

Ответ на: комментарий от Legioner 29.04.14 13:32:50 MSK

Правильно, зачем нам увеличивать функционал существующего пакетного фильтра? Больше iptable'сов, хороших и разных. Пусть расцветает сто пакетных фильтров!

sin_a ★★★★★
(29.04.14 13:47:41 MSK)

http://www.youtube.com/watch?v=iXx99s9zBEo
Аскетичный функционал...

emptyloop
(29.04.14 14:09:32 MSK)

Ссылка

Ответ на: комментарий от UNiTE 29.04.14 13:43:58 MSK

Есть чо получше? В плане удобства интерфейса, удобства контроля?

I-Love-Microsoft ★★★★★
(29.04.14 14:20:39 MSK)

Ответ на: комментарий от Legioner 29.04.14 13:32:50 MSK

А как в линуксе сделать так, чтобы, например, пакет <…> вызвалось бы пользовательское приложение, которое бы сказало ядру по завершении - что делать с пакетом <…>?

NFQUEUE

Laz ★★★★★
(29.04.14 14:34:25 MSK)

Сетевой экран обладает наглядным интерфейсом

Это как? Через gui чтоли? А не-gui остался? по ssh то только cli можно.

cvs-255 ★★★★★
(29.04.14 15:49:36 MSK)

А причем тут web? Я думал это очередное говно с веб-интерфейсом.

Deleted
(29.04.14 15:52:33 MSK)

Ссылка

Ответ на: комментарий от anonymous 29.04.14 12:19:00 MSK

развелось в наших линуксах всякого хипстерского говна, которое без спроса лезет в интернет на всякие левые сайты

отучаемся говорить за всех

cvs-255 ★★★★★
(29.04.14 15:55:43 MSK)

Ответ на: комментарий от Legioner 29.04.14 13:32:50 MSK

Есть вариант (не помню, как зовется действие) использовать внешнее приложение для обработки пакета.

cvs-255 ★★★★★
(29.04.14 15:57:46 MSK)

Ответ на: комментарий от cvs-255 29.04.14 15:57:46 MSK

Насколько это юзабельно с практической точки зрения? Вот скачал я торрент, полез он в интернет, полетели тысячи пакетов во все стороны. Фаервол должен все эти тысячи пакетов от приложения остановить и один раз у юзера спросить, что, собственно, делать? Если он будет некое приложение тысячу раз запускать, тупо всё зависнет.

Как мне кажется, iptables хорош для сервера, где один раз всё настраивается и потом работает, но для outpost-like сценариев совершенно не приспособлен.

~~Legioner~~ ★★★★★
(29.04.14 16:29:31 MSK)

Ответ на: комментарий от sin_a 29.04.14 13:47:41 MSK

Правильно, зачем нам увеличивать функционал существующего пакетного фильтра? Больше iptable'сов, хороших и разных. Пусть расцветает сто пакетных фильтров!

Ну пусть будет больше, жалко что ли. В венде этих фаерволов как собак нерезанных, и никому это не мешает.

~~Legioner~~ ★★★★★
(29.04.14 16:30:39 MSK)