답변1
gufw
및 기타 기본 제공 방화벽은 애플리케이션별로 필터링하도록 설계되지 않았습니다. gufw
에 대한 복잡하지 않은 GUI 프런트엔드 ufw
이고 애플리케이션 수준에서 필터링하도록 설계되지 않았습니다. IP 기반 기본 필터링 규칙을 설정하기 위한 복잡하지 않은 프런트엔드일 뿐입니다. , 포트 등
ufw
당신이 찾고 있는 것은 수용할 수 있고 수용할 수 있는 표준 Linux 내 방화벽 규칙 세트를 뛰어넘는 것입니다 gufw
. 있다몇 가지 제안 방법(연결된 것은 그룹 기반 컨트롤이므로 '네트에 액세스하려는 애플리케이션을 특정 그룹에 추가해야 합니다), 다음과 같은 다른 애플리케이션도 있습니다.두안, 애플리케이션 계층에서도 이 작업을 수행할 수 있습니다.
답변2
인터넷 접속을 차단할 수 있는 방법 중 하나애플리케이션 기준"샌드박싱"입니다.
애플리케이션에 대한 네트워크 액세스는 방화벽 규칙을 사용하여 간접적으로 제어되는 경우가 많습니다. 일반적으로 애플리케이션은 일관된 방식으로 통신을 시도합니다(둘 중 하나).에게특정 포트/주소, 또는~에서특정 포트/주소), 방화벽을 사용하면 인터넷(또는 다른 컴퓨터)에 액세스하는 애플리케이션의 기능을 비활성화하기 위한 노력의 일환으로 특정 포트나 주소에 대한 액세스를 차단할 수 있습니다. 그러나 응용 프로그램이 일관된 방식으로 통신하지 않으면 방화벽 규칙을 작성하기가 매우 어려워지며 모든 네트워킹이 확실히 차단됩니다. 작업하려는 응용 프로그램도 동일한 포트/주소를 사용하여 통신하고 방화벽이 두 응용 프로그램을 모두 차단할 수도 있습니다.
샌드박싱은 애플리케이션에 대한 별도의 환경을 생성하기 위한 모든 전략을 가리키는 일반적인 용어입니다. 이에 대한 일반적인 이유 중 하나는 응용 프로그램이 상호 작용하는 대상을 완전히 인식하는 것입니다. 왜냐하면 기본적으로 일반적으로애플리케이션은 특별히 허용하지 않는 한 "샌드박스" 외부의 어떤 항목에도 액세스할 수 없습니다..
완전한 설정에 대해 설명하지는 않겠지만 Docker 및 Kubernetes와 같은 소프트웨어는 정확히 이를 염두에 두고 설계되었습니다. "컨테이너"(샌드박스라고도 함)에서 실행되는 소프트웨어에 대한 네트워크 액세스를 최대한 적게 또는 많이 허용할 수 있습니다.
말할 필요도 없이 실행해야 할 작업이 훨씬 더 많습니다.모든 것컨테이너 내부에 있지만 특히 우려되는 몇 가지 애플리케이션이 있는 경우에는 가치가 있을 수 있습니다.
답변3
GNU/Linux용 Douane 개인 방화벽
가능한 해결책을 하나 찾았습니다.GNU/Linux용 Douane 개인 방화벽-방문 페이지,새로운 홈페이지.
그러나 귀하의 Ubuntu용 패키지 버전을 찾지 못했습니다.
지원됨:
- 애플리케이션/라이브러리에 의해 생성되는 모든 나가는 연결
- 프로토콜 : 모두(NetFilter와 동일)
- 방향 : 발신 - 듣기
지원되지 않음:
- 비사용자 공간 연결: netbios/etc... (커널)
- Iptables (douane에서는 사용하지 않으나, douane과 병행 사용을 권장함)
- 방향 : 수신(이 경우 iptables 사용)
모든 것이 꽤 잘 설명되어 있기 때문에Douane - GitLab 편집 페이지, 컴파일 과정에는 아무런 문제가 없습니다.