Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: PetrJ 17. 05. 2018, 16:33:10

Název: Firewall pro Linux
Přispěvatel: PetrJ 17. 05. 2018, 16:33:10
Ahoj, chtel bych prejit na linux z windows 10 ale nemohu najit normalni firewall s GUI.

Z jineho prispevku tady na fore budu citovat: https://forum.root.cz/index.php?topic=13626.msg209966#msg209966

Zkusil jsem to gufw a ne, to neni o cem zde piseme. To se nezepta, kdyz se neznama aplikace pokousi pripojit ven, to se chova stejne jako iptrables - dokud sam nevytvoris pravidlo, tak bude aplikovat vychozi politiku. Nam jde o to, ze pri pokusu o pripojeni neznamou aplikaci nebo treba znamou aplikaci ale na neznamy (= pravidly nespecifikovany) port se to uzivatele samo zepta pomoci GUI dialogu.

To Douane (pekne nevhodne zvolene jmeno, naprosto nezapamatovatelne) asi ani nezkusim. V ofic buntu repu to neni, svoje repo to asi nema, balik to nema a prekladat rucne projekt sestavajici z nekolika modulu opravdu nebudu. Uz jen proto, ze se mi fakt nechce resit, kdy zaplatovali nejakou diru, ze musim vse rucne znovu pososat, prelozit a nainstalovat novou verzi. Bezpecnosti soft ma byt v ofico repozitari, nebo ma mit svuj, jinak je IMO nesmysl to pouzivat.

Presne neco takoveho hledam, kdyz se aplikace pokusi pripojit do internetu na jaky port a na jakou adresu. dostanu oznameni a dam povolit nebo zakazat. Nic takoveho jsem nenasel.

Opravdu na linux neexistuje zadny firewall?
Název: Re:Firewall pro Linux
Přispěvatel: jmk 17. 05. 2018, 17:16:17
Nehledáš
Citace
normalni firewall s GUI
, ale tzv. aplikační firewall. Firewall v Linuxu nejčastěji založený na iptables nerozlišuje jaká aplikace chce přistoupit ven/dovnitř - prostě filtruje síťový provoz a je úplně jedno jaká aplikace provoz generuje - a je to tak správně.

Řízení chování aplikací upravuje AppArmor https://cs.wikipedia.org/wiki/AppArmor (https://cs.wikipedia.org/wiki/AppArmor) anebo SELinux https://cs.wikipedia.org/wiki/SELinux (https://cs.wikipedia.org/wiki/SELinux).

Klasický aplikační firewall jak jsou nazývány tyto udělátka ze světa Windows na Linuxu moc nejsou. Jako pokus lze například uvést OpenSnitch https://www.linuxuprising.com/2018/04/how-to-install-opensnitch-application.html (https://www.linuxuprising.com/2018/04/how-to-install-opensnitch-application.html), ale to není moc pro produkční použití.
Název: Re:Firewall pro Linux
Přispěvatel: PetrJ 17. 05. 2018, 17:37:20
@jmk Dekuji za reakci.

Takovej firewall je na desktop ale uplne na nic prece?

Dam priklad: Ja mam v linuxu prohlizec ktery nechci nijak blokovat a stahnu si aplikaci u ktere ani nevim jestli se bude nejak pripojovat a jestli ano neznam kam se bude pripojovat a pres jaky port.

(jak podle toho bych takovej firewall nastavil to bych musel asi zablokovat vsechno nebo nic?)

V tomhle mi teda linux pripada zaostalej.

Název: Re:Firewall pro Linux
Přispěvatel: Lojza 17. 05. 2018, 17:51:47
aplkacni fw neni silna sranka linuxu (narozdil od win a mac os)
Název: Re:Firewall pro Linux
Přispěvatel: Roman 17. 05. 2018, 17:56:41
Neřekl bych, spíš pokud něco spustím tak vím co. Jinak řešení je popsáno tady https://serverfault.com/questions/550276/how-to-block-internet-access-to-certain-programs-on-linux (https://serverfault.com/questions/550276/how-to-block-internet-access-to-certain-programs-on-linux). V linuxu stačí pro zajištění základní ochrany dvě pravidla - schválně spočítej kolik jich je ve windows v defaultu. A pak v tom bordelu něco hledej. Jednoduchost a přímočarost je jediná udržitelná cesta. Nasrat 100+ pravidel ve kterých se ani prase nevyzná ... No nevim. Všechno má své plusy i mínusy.
Název: Re:Firewall pro Linux
Přispěvatel: DOOMinator 17. 05. 2018, 18:14:56
Neřekl bych, spíš pokud něco spustím tak vím co.
To je ale blbost zase.

Dneska v každé distribuci je VLC media player není to tak dlouho co byla oběvena chyba: https://blog.checkpoint.com/2017/05/23/hacked-in-translation/
Prostě ani u známe aplikace si nemůžeš být nikdy jistý!


Jinak doporučuji třeba si zjistit jaké aplikace u Ubuntu komunikují z internetm.
Přitom by komunikovat správně vůbec neměli. (Protože to není potřeba)
Název: Re:Firewall pro Linux
Přispěvatel: Jenda 17. 05. 2018, 18:36:09
V linuxu stačí pro zajištění základní ochrany dvě pravidla [...] Nasrat 100+ pravidel ve kterých se ani prase nevyzná

Ve Windows: každá aplikace má pravidlo, jestli může nebo nemůže na net.

V Linuxu podle tvého řešení: máš dva uživatele, jeden na net může a jeden ne, a každá aplikace má pravidlo, pod kterým uživatelem se má spouštět.

Rozdíl? Až na to, že to druhé je větší opruz, protože pak nemůže inkscape (nesmí se připojovat na net) otevírat obrázky stažené webovým prohlížečem (běží pod jiným uživatelem) a musíš hackovat umasky a ACLka.
Název: Re:Firewall pro Linux
Přispěvatel: _Tomáš_ 17. 05. 2018, 20:51:47
také o ničem takovém nevím, základní problém je, že Linux Kernel takovou funkci nemá a neexistují hooky, kde by se mohl aplikační firewall zaregistrovat a kde by poté filtroval určité zdroje podle svých pravidel. To výrazně omezuje právě aplikační firewally a antiviry.

Občas používám tohle https://github.com/google/nsjail, není to přímo ono, ale dá se to na to naroubovat. Mám takhle spouštěné prohlížeče, které mají omezené zdroje a sítě.
Název: Re:Firewall pro Linux
Přispěvatel: PetrJ 17. 05. 2018, 21:43:56
Ja nasel tohle:

https://firejail.wordpress.com/

Nevi nekdo jaky je rozdil mezi "nsjail" a "firejail" a co by me kdo o tom mohl rict a doporucit?

Jinak je skoda ze tohle linux nema osetrene :-(
Název: Re:Firewall pro Linux
Přispěvatel: # 17. 05. 2018, 22:06:16
Pro firejail staci vetsinou zkopirovat nakej existujici konfigurak a pojedeto v poho (sam sem si jich par vyrobil a pote poslal do upstreamu, proste vezmes app stejnyho zamereni, napr pro seamonkey jsem pouzil firefox ...) ten druhej neznam.
Název: Re:Firewall pro Linux
Přispěvatel: Standa2017 17. 05. 2018, 22:18:15
Já používám Firewall Builder (http://fwbuilder.sourceforge.net/4.0/quick_start_guide.shtml), kde si naklikáš pravidla a on z nich zkompiluje script např. pro iptables (nejen), který si spustíš při startu systému. Když něco po čase potřebuji přidat/ubrat, tak se v tom 'opticky' lépe orientuji.
Název: Re:Firewall pro Linux
Přispěvatel: Jenda 17. 05. 2018, 22:25:35
Já používám Firewall Builder (http://fwbuilder.sourceforge.net/4.0/quick_start_guide.shtml), kde si naklikáš pravidla a on z nich zkompiluje script např. pro iptables (nejen), který si spustíš při startu systému. Když něco po čase potřebuji přidat/ubrat, tak se v tom 'opticky' lépe orientuji.

To není aplikační firewall.
Název: Re:Firewall pro Linux
Přispěvatel: Matěj Koudelka 18. 05. 2018, 06:23:15
Zkusil bych jestli to neumí Nod32 Antivirus... já ho chtěl zkusit, ale když mi chtěl disablovat SELinux tak jsem to okamžitě smazal. Ale třeba by ti mohl vyhovovat a možná by to mohlo umět i to co chceš, alespoň částečně. Chvástaj se ochranou proti malware, což jsem pochopil bude asi to proč chceš nějaký "firewall" řešit.
Název: Re:Firewall pro Linux
Přispěvatel: LH 18. 05. 2018, 09:49:45
Douane (License: GPL-2.0)
Douane personal firewall for GNU/Linux
http://douaneapp.com/
https://github.com/Douane/Douane

OpenSnitch (License: GPL-3.0)
OpenSnitch is a GNU/Linux port of the Little Snitch application firewall
https://www.opensnitch.io/
https://github.com/evilsocket/opensnitch/
Název: Re:Firewall pro Linux
Přispěvatel: ToJeMazec 18. 05. 2018, 15:31:06
Douane, Znám ale je funkční tak na půl.

Ale OpenSnitch neznám vůbec, a je suprově propracovanej.
O tom bych si přečetl i nějaký článek na rootu  :P


Používá to někdo, má někdo nějaké zkušenosti s OpenSnitch ?
Název: Re:Firewall pro Linux
Přispěvatel: Maxik 18. 05. 2018, 22:40:03
Jestli to funguje ma linux dalsiho cloveka :-D

Ale mam problem, mam ve virtualboxu ubuntu 18.04. a podle navodu se to musi nejak kompilovat nevi nekdo jestli to nekdo nedava do baliku pro ubuntu ?

Kdyz bude nejaka aktualizace tak to musim pokazde delat rucne muze mi to nekdo vysvetlit jako amaterovi:-D