Ich habe nach einer Möglichkeit gesucht, allen meinen Anwendungen mit Ausnahme von ein oder zwei ausgewählten Anwendungen den Internetzugriff zu sperren.
Ich habe mir Uncomplicated Firewall (ufw) und die dazugehörige GUI (gufw) angesehen:
aber gufw scheint nicht über die Option zu verfügen, bestimmten Programmen den Internetzugriff zu verweigern (was die Windows-Firewall mit ausgehenden Regeln macht).
FRAGE:Weiß jemand, wie ich das hinbekommen könnte?
Antwort1
gufwund andere standardmäßig ausgelieferte Firewalls sind nicht für die Filterung nach Anwendung konzipiert – gufwist eine unkomplizierte GUI-Frontend-Funktion ufwund ist nicht für die Filterung auf Anwendungsebene konzipiert, sondern lediglich eine unkomplizierte Frontend-Funktion zum Einrichten grundlegender Filterregeln auf Basis von IP, Port usw.
Was Sie suchen, geht über die Standard-Firewall-in-Linux-Regelsätze hinaus, die ufwund gufwberücksichtigen können. Es gibtmehrere vorgeschlagene Methoden(Die verlinkte ist eine gruppenbasierte Steuerung, Sie müssen also Anwendungen, die auf das Internet zugreifen sollen, einer bestimmten Gruppe hinzufügen), aber es gibt auch andere Anwendungen wieDouane, was möglicherweise auch auf der Anwendungsebene geschieht.
Antwort2
Eine der Methoden, die den Internetzugriff auf einempro Anwendungist "Sandboxing".
Häufig wird der Netzwerkzugriff auf/von Anwendungen indirekt über Firewall-Regeln kontrolliert. Normalerweise versucht eine Anwendung, auf konsistente Weise zu kommunizieren (entwederZueinen bestimmten Port/eine bestimmte Adresse oderausein bestimmter Port/eine bestimmte Adresse), und mit einer Firewall können Sie den Zugriff auf/von einem bestimmten Port oder einer bestimmten Adresse verhindern, um der Anwendung den Zugriff auf das Internet (oder einen anderen Computer) zu untersagen. Wenn eine Anwendung jedoch nicht auf konsistente Weise kommuniziert, wäre es sehr schwierig, Firewall-Regeln zu schreiben, von denen Sie sicher wären, dass sie alle Netzwerkverbindungen blockieren. Es ist auch möglich, dass eine Anwendung, mit der Sie arbeiten möchten, ebenfalls über denselben Port/dieselbe Adresse kommuniziert, und eine Firewall würde wahrscheinlich beide Anwendungen blockieren.
Sandboxing ist ein allgemeiner Begriff für jede Strategie, die darauf abzielt, eine separate Umgebung für eine Anwendung zu erstellen. Einer der häufigsten Gründe dafür ist, sich darüber im Klaren zu sein, womit die Anwendung interagiert, denn normalerweiseDie Anwendung kann auf nichts außerhalb ihrer "Sandbox" zugreifen, es sei denn, Sie erlauben es ausdrücklich.
Ich werde hier keine vollständige Konfiguration beschreiben, aber Software wie Docker und Kubernetes wurden genau mit diesem Gedanken im Hinterkopf entwickelt; Sie können der in ihren „Containern“ (auch Sandbox genannt) laufenden Software so viel oder so wenig Netzwerkzugriff gewähren, wie Sie möchten.
Es ist natürlich viel mehr Arbeit,allesin einem Container, aber wenn es einige bestimmte Anwendungen gibt, die Ihnen am Herzen liegen, könnte es sich für diese lohnen.
Antwort3
Douane Personal Firewall für GNU/Linux
Ich habe eine mögliche Lösung für Sie gefunden:Douane Personal Firewall für GNU/Linux-Zielseite,neue Homepage.
Ich habe jedoch keine gepackte Version für Ihr Ubuntu gefunden.
Unterstützt:
- Jede ausgehende Verbindung, die von einer Anwendung/Bibliothek generiert wird
- Protokolle: Alle (dasselbe wie NetFilter)
- Richtung: Ausgehend - Zuhören
Nicht unterstützt:
- Nicht-Userspace-Verbindungen: Netbios/usw. (Kernel)
- Iptables (wird von douane nicht verwendet, es wird jedoch empfohlen, es parallel mit douane zu verwenden)
- Richtung: Eingehend (verwenden Sie hierfür iptables)
Da alles ziemlich gut beschrieben scheint auf derDouane – GitLab-Kompilierungsseite, ich sehe kein Problem mit dem Kompilierungsprozess.