Firewall pro Linux

PetrJ · « **kdy:** 17. 05. 2018, 16:33:10 »

Ahoj, chtel bych prejit na linux z windows 10 ale nemohu najit normalni firewall s GUI.

Z jineho prispevku tady na fore budu citovat: https://forum.root.cz/index.php?topic=13626.msg209966#msg209966

Citace: noef 28. 04. 2017, 06:59:43

Zkusil jsem to gufw a ne, to neni o cem zde piseme. To se nezepta, kdyz se neznama aplikace pokousi pripojit ven, to se chova stejne jako iptrables - dokud sam nevytvoris pravidlo, tak bude aplikovat vychozi politiku. Nam jde o to, ze pri pokusu o pripojeni neznamou aplikaci nebo treba znamou aplikaci ale na neznamy (= pravidly nespecifikovany) port se to uzivatele samo zepta pomoci GUI dialogu.

To Douane (pekne nevhodne zvolene jmeno, naprosto nezapamatovatelne) asi ani nezkusim. V ofic buntu repu to neni, svoje repo to asi nema, balik to nema a prekladat rucne projekt sestavajici z nekolika modulu opravdu nebudu. Uz jen proto, ze se mi fakt nechce resit, kdy zaplatovali nejakou diru, ze musim vse rucne znovu pososat, prelozit a nainstalovat novou verzi. Bezpecnosti soft ma byt v ofico repozitari, nebo ma mit svuj, jinak je IMO nesmysl to pouzivat.

Presne neco takoveho hledam, kdyz se aplikace pokusi pripojit do internetu na jaky port a na jakou adresu. dostanu oznameni a dam povolit nebo zakazat. Nic takoveho jsem nenasel.

Opravdu na linux neexistuje zadny firewall?

Reklama

jmk · « **Odpověď #1 kdy:** 17. 05. 2018, 17:16:17 »

Nehledáš

Citace

normalni firewall s GUI

, ale tzv. aplikační firewall. Firewall v Linuxu nejčastěji založený na iptables nerozlišuje jaká aplikace chce přistoupit ven/dovnitř - prostě filtruje síťový provoz a je úplně jedno jaká aplikace provoz generuje - a je to tak správně.

Řízení chování aplikací upravuje AppArmor https://cs.wikipedia.org/wiki/AppArmor anebo SELinux https://cs.wikipedia.org/wiki/SELinux.

Klasický aplikační firewall jak jsou nazývány tyto udělátka ze světa Windows na Linuxu moc nejsou. Jako pokus lze například uvést OpenSnitch https://www.linuxuprising.com/2018/04/how-to-install-opensnitch-application.html, ale to není moc pro produkční použití.

PetrJ · « **Odpověď #2 kdy:** 17. 05. 2018, 17:37:20 »

@jmk Dekuji za reakci.

Takovej firewall je na desktop ale uplne na nic prece?

Dam priklad: Ja mam v linuxu prohlizec ktery nechci nijak blokovat a stahnu si aplikaci u ktere ani nevim jestli se bude nejak pripojovat a jestli ano neznam kam se bude pripojovat a pres jaky port.

(jak podle toho bych takovej firewall nastavil to bych musel asi zablokovat vsechno nebo nic?)

V tomhle mi teda linux pripada zaostalej.

Lojza · « **Odpověď #3 kdy:** 17. 05. 2018, 17:51:47 »

aplkacni fw neni silna sranka linuxu (narozdil od win a mac os)

Roman · « **Odpověď #4 kdy:** 17. 05. 2018, 17:56:41 »

Neřekl bych, spíš pokud něco spustím tak vím co. Jinak řešení je popsáno tady https://serverfault.com/questions/550276/how-to-block-internet-access-to-certain-programs-on-linux. V linuxu stačí pro zajištění základní ochrany dvě pravidla - schválně spočítej kolik jich je ve windows v defaultu. A pak v tom bordelu něco hledej. Jednoduchost a přímočarost je jediná udržitelná cesta. Nasrat 100+ pravidel ve kterých se ani prase nevyzná ... No nevim. Všechno má své plusy i mínusy.

Reklama

DOOMinator · « **Odpověď #5 kdy:** 17. 05. 2018, 18:14:56 »

Citace: Roman 17. 05. 2018, 17:56:41

Neřekl bych, spíš pokud něco spustím tak vím co.

To je ale blbost zase.

Dneska v každé distribuci je VLC media player není to tak dlouho co byla oběvena chyba: https://blog.checkpoint.com/2017/05/23/hacked-in-translation/
Prostě ani u známe aplikace si nemůžeš být nikdy jistý!

Jinak doporučuji třeba si zjistit jaké aplikace u Ubuntu komunikují z internetm.
Přitom by komunikovat správně vůbec neměli. (Protože to není potřeba)

Jenda · « **Odpověď #6 kdy:** 17. 05. 2018, 18:36:09 »

Citace: Roman 17. 05. 2018, 17:56:41

V linuxu stačí pro zajištění základní ochrany dvě pravidla [...] Nasrat 100+ pravidel ve kterých se ani prase nevyzná

Ve Windows: každá aplikace má pravidlo, jestli může nebo nemůže na net.

V Linuxu podle tvého řešení: máš dva uživatele, jeden na net může a jeden ne, a každá aplikace má pravidlo, pod kterým uživatelem se má spouštět.

Rozdíl? Až na to, že to druhé je větší opruz, protože pak nemůže inkscape (nesmí se připojovat na net) otevírat obrázky stažené webovým prohlížečem (běží pod jiným uživatelem) a musíš hackovat umasky a ACLka.

Exceptions · « **Odpověď #7 kdy:** 17. 05. 2018, 20:51:47 »

také o ničem takovém nevím, základní problém je, že Linux Kernel takovou funkci nemá a neexistují hooky, kde by se mohl aplikační firewall zaregistrovat a kde by poté filtroval určité zdroje podle svých pravidel. To výrazně omezuje právě aplikační firewally a antiviry.

Občas používám tohle https://github.com/google/nsjail, není to přímo ono, ale dá se to na to naroubovat. Mám takhle spouštěné prohlížeče, které mají omezené zdroje a sítě.

PetrJ · « **Odpověď #8 kdy:** 17. 05. 2018, 21:43:56 »

Ja nasel tohle:

https://firejail.wordpress.com/

Nevi nekdo jaky je rozdil mezi "nsjail" a "firejail" a co by me kdo o tom mohl rict a doporucit?

Jinak je skoda ze tohle linux nema osetrene :-(

# · « **Odpověď #9 kdy:** 17. 05. 2018, 22:06:16 »

Pro firejail staci vetsinou zkopirovat nakej existujici konfigurak a pojedeto v poho (sam sem si jich par vyrobil a pote poslal do upstreamu, proste vezmes app stejnyho zamereni, napr pro seamonkey jsem pouzil firefox ...) ten druhej neznam.

Standa2017 · « **Odpověď #10 kdy:** 17. 05. 2018, 22:18:15 »

Já používám Firewall Builder, kde si naklikáš pravidla a on z nich zkompiluje script např. pro iptables (nejen), který si spustíš při startu systému. Když něco po čase potřebuji přidat/ubrat, tak se v tom 'opticky' lépe orientuji.

Jenda · « **Odpověď #11 kdy:** 17. 05. 2018, 22:25:35 »

Citace: Standa2017 17. 05. 2018, 22:18:15

Já používám Firewall Builder, kde si naklikáš pravidla a on z nich zkompiluje script např. pro iptables (nejen), který si spustíš při startu systému. Když něco po čase potřebuji přidat/ubrat, tak se v tom 'opticky' lépe orientuji.

To není aplikační firewall.

Matěj Koudelka · « **Odpověď #12 kdy:** 18. 05. 2018, 06:23:15 »

Zkusil bych jestli to neumí Nod32 Antivirus... já ho chtěl zkusit, ale když mi chtěl disablovat SELinux tak jsem to okamžitě smazal. Ale třeba by ti mohl vyhovovat a možná by to mohlo umět i to co chceš, alespoň částečně. Chvástaj se ochranou proti malware, což jsem pochopil bude asi to proč chceš nějaký "firewall" řešit.

LH · « **Odpověď #13 kdy:** 18. 05. 2018, 09:49:45 »

Douane (License: GPL-2.0)
Douane personal firewall for GNU/Linux
http://douaneapp.com/
https://github.com/Douane/Douane

OpenSnitch (License: GPL-3.0)
OpenSnitch is a GNU/Linux port of the Little Snitch application firewall
https://www.opensnitch.io/
https://github.com/evilsocket/opensnitch/

ToJeMazec · « **Odpověď #14 kdy:** 18. 05. 2018, 15:31:06 »

Douane, Znám ale je funkční tak na půl.

Ale OpenSnitch neznám vůbec, a je suprově propracovanej.
O tom bych si přečetl i nějaký článek na rootu

Používá to někdo, má někdo nějaké zkušenosti s OpenSnitch ?

Firewall pro Linux

PetrJ

Firewall pro Linux

Reklama

jmk

Re:Firewall pro Linux

PetrJ

Re:Firewall pro Linux

Lojza

Re:Firewall pro Linux

Roman

Re:Firewall pro Linux

Reklama

DOOMinator

Re:Firewall pro Linux

Jenda

Re:Firewall pro Linux

Exceptions

Re:Firewall pro Linux

PetrJ

Re:Firewall pro Linux

#

Re:Firewall pro Linux

Standa2017

Re:Firewall pro Linux

Jenda

Re:Firewall pro Linux

Matěj Koudelka

Re:Firewall pro Linux

LH

Re:Firewall pro Linux

ToJeMazec

Re:Firewall pro Linux