He estado buscando una manera de bloquear el acceso a Internet de todas mis aplicaciones, excepto 1 o 2 aplicaciones elegidas.
Miré el Firewall sin complicaciones (ufw) y su respectiva Gui (gufw):
pero gufw no parece tener la opción de bloquear el acceso a Internet de programas específicos (lo que hace el firewall de Windows con las reglas de salida).
PREGUNTA:¿Alguien sabe cómo podría lograrlo?
Respuesta1
gufwy otros cortafuegos incluidos por defecto no están diseñados para filtrar por aplicación: gufwes una interfaz gráfica de usuario sencilla ufwy no está diseñada para filtrar a nivel de aplicación; es simplemente una interfaz sencilla para configurar reglas de filtrado básicas basadas en IP. , puerto, etc.
Lo que está buscando va más allá de los conjuntos de reglas estándar de firewall en Linux que ufwpueden gufwadaptarse. Hayvarios métodos sugeridos(el vinculado son controles basados en grupos, por lo que debe agregar las aplicaciones a las que desea acceder a la red a un grupo específico), pero también hay otras aplicaciones comoDouane, que también puede hacer esto en la capa de aplicación.
Respuesta2
Uno de los métodos que podría bloquear el acceso a Internet en unpor aplicaciónes "zona de pruebas".
A menudo, el acceso a la red hacia/desde las aplicaciones se controla indirectamente mediante reglas de firewall. Normalmente sucede que una aplicación intenta comunicarse de manera consistente (ya seaaun puerto/dirección específica, odeun puerto/dirección específicos), y con un firewall puede impedir el acceso a/desde un puerto o dirección específicos en un esfuerzo por desactivar la capacidad de la aplicación para acceder a Internet (o a alguna otra computadora). Sin embargo, si una aplicación no se comunica de manera consistente, sería muy difícil escribir reglas de firewall que estuvieran seguros de bloquear todas sus redes. También es posible que una aplicación con la que desea que funcione también se comunique utilizando el mismo puerto/dirección, y un firewall probablemente bloquee ambas aplicaciones.
Sandboxing es un término general para cualquier estrategia destinada a crear un entorno separado para una aplicación. Una de las razones más comunes para esto es tener pleno conocimiento de con qué interactúa la aplicación, porque de forma predeterminada normalmentela aplicación no puede acceder a nada fuera de su "zona de pruebas" a menos que usted le permita específicamente.
No describiré una configuración completa, pero software como Docker y Kubernetes se diseñaron exactamente con esto en mente; puede permitir un acceso de red mínimo o máximo al software que se ejecuta en sus "contenedores" (también conocido como sandbox).
No hace falta decir que es mucho más trabajo ejecutarlo.tododentro de un contenedor, pero si hay algunas aplicaciones en particular que le preocupan, podría valer la pena para ellas.
Respuesta3
Cortafuegos personal Douane para GNU/Linux
Encontré una posible solución para ti:Cortafuegos personal Douane para GNU/Linux-página de destino,nueva pagina de inicio.
Sin embargo, no encontré una versión empaquetada para tu Ubuntu.
Soportado:
- Cualquier conexión saliente generada por aplicación/biblioteca
- Protocolos: Todos (igual que NetFilter)
- Dirección : Extrovertida - Escucha
No soportado:
- Conexiones que no son de espacio de usuario: netbios/etc... (Kernel)
- Iptables (no usado por douane, pero se recomienda usarlo junto con douane)
- Dirección: Entrante (use iptables para eso)
Dado que todo parece bastante bien descrito en elDouane - Página de compilación de GitLab, No veo ningún problema con el proceso de compilación.