Tenho procurado uma maneira de bloquear o acesso de todos os meus aplicativos à Internet, exceto 1 ou 2 aplicativos escolhidos.
Dei uma olhada no Uncomplicated Firewall (ufw) e seu respectivo Gui (gufw):
mas o gufw não parece ter a opção de bloquear o acesso de programas específicos à Internet (o que o firewall do Windows faz com regras de saída).
PERGUNTA:Alguém sabe como posso fazer isso?
Responder1
gufw
e outros firewalls fornecidos por padrão não são projetados para filtrar por aplicativo - gufw
é um front-end de GUI descomplicado ufw
e não foi projetado para filtrar no nível do aplicativo, é simplesmente um front-end descomplicado para configurar regras básicas de filtragem com base em IP , porto, etc.
O que você está procurando vai além dos conjuntos de regras padrão do firewall no Linux que ufw
podem gufw
acomodar. Hávários métodos sugeridos(o vinculado é um controle baseado em grupo, então você tem que adicionar aplicativos que deseja acessar a rede a um grupo específico), mas também há outros aplicativos, comoDouane, que também pode fazer isso na camada de aplicação.
Responder2
Um dos métodos que podem bloquear o acesso à Internet em umpor aplicaçãoé "sandbox".
Freqüentemente, o acesso à rede de/para aplicativos é controlado indiretamente por meio de regras de firewall. Normalmente acontece que uma aplicação tenta se comunicar de forma consistente (sejaparauma porta/endereço específico oudeuma porta/endereço específico) e com um firewall você pode impedir o acesso de/para uma porta ou endereço específico em um esforço para desabilitar a capacidade do aplicativo de acessar a Internet (ou algum outro computador). No entanto, se um aplicativo não se comunicar de maneira consistente, seria muito difícil escrever regras de firewall que você tivesse certeza de bloquear toda a sua rede. Também é possível que um aplicativo com o qual você deseja trabalhar também se comunique usando a mesma porta/endereço, e um firewall provavelmente bloquearia ambos os aplicativos.
Sandboxing é um termo geral para qualquer estratégia destinada a criar um ambiente separado para um aplicativo. Um dos motivos comuns para isso é estar totalmente ciente do que o aplicativo está interagindo, porque por padrão normalmenteo aplicativo não pode acessar nada fora de sua "sandbox", a menos que você permita especificamente.
Não vou descrever uma configuração completa, mas softwares como Docker e Kubernetes foram projetados exatamente com isso em mente; você pode permitir o mínimo ou o máximo de acesso à rede ao software em execução em seus "contêineres" (também conhecidos como sandbox).
Escusado será dizer que é muito mais trabalhoso executartudodentro de um contêiner, mas se houver alguns aplicativos em particular que o preocupam, isso pode valer a pena para eles.
Responder3
Firewall pessoal Douane para GNU/Linux
Encontrei uma solução possível para você:Firewall pessoal Douane para GNU/Linux-página de destino,nova página inicial.
No entanto, não encontrei uma versão empacotada para o seu Ubuntu.
Suportado:
- Qualquer conexão de saída gerada por aplicativo/biblioteca
- Protocolos: Todos (iguais ao NetFilter)
- Direção: Saída - Escuta
Não suportado:
- Conexões fora do espaço do usuário: netbios/etc... (Kernel)
- Iptables (não usado pelo douane, mas é recomendado usá-lo lado a lado com o douane)
- Direção: Entrada (use iptables para isso)
Como tudo parece muito bem descrito noDouane - página de compilação do GitLab, não vejo nenhum problema com o processo de compilação.