Чи можна мені повідомити про заблоковані спроби з'єднання?

9

На моєму комп’ютері працює Ubuntu 10.10, і я хотів би знати, чи є брандмауер, який активно повідомляє мене, коли певна програма намагається отримати доступ до Інтернету або коли спроба з'єднання заблокована з Інтернету. Я пам'ятаю, ZoneAlarm для Windows сповістить вас про заблоковані спроби, але тепер, коли я перейшов на Ubuntu, я не дуже впевнений. Всі мої пошуки ведуть мене до gufw.

firewall notification-area

— OpenCoderX
джерело

Хоча це зовсім не те саме, що перехоплення, але якщо ви зможете побачити, з якими з'єднаннями здійснюються в режимі реального часу, sudo netstat -tup -W- -ptпрапор буде показувати вихідний додаток для кожного з'єднання. Щоб побачити звіт про всі підключення, які раніше використовувались ntop: (1) do sudo apt-get install ntop, запустіть службу sudo /etc/init.d/ntop start, а потім відкрийте localhost: 3000 у своєму веб-браузері. У розділі Усі протоколи > Трафік ви побачите список усіх з'єднань, які здійснюються. На жаль, ntop не відображатиме, який додаток ініціював з'єднання ..

— ccpizza

2

Наскільки я знаю, відповідь на обидва питання, на жаль, "ні".

Деталі (але я все одно спрощу тут):

брандмауер, який активно повідомляє мене, коли певна програма намагається отримати доступ до Інтернету

Чистий фільтр ядра, який використовуються брандмауери, не працює добре на рівні програми, тому він не використовується для цієї мети. Хоча, як правило, можна фільтрувати вихідні з'єднання (для всіх програм), це важко зробити, оскільки ви не можете заблокувати з'єднання до порту 80 (використовується для http - тут використовується лише як приклад), це означає, що негідний додаток Ви можете легко використовувати цей порт для встановлення з'єднань.
Навіть якби це було можливо, це було б досить важко здійснити, оскільки з'єднання або дозволені, або заблоковані (а не "перехоплені" або "призупинені", як, наприклад, ZoneAlarm), тому у вас немає шансів активно дозволити або заборонити запит на ходу.
Один варіант на рівні програми був би AppArmor(ви можете обмежити підключення до Інтернету серед іншого там), але це не дуже зручно для початківців і детально.

активно повідомляє, коли спроба з'єднання заблокована з Інтернету

Це робиться, якщо ви налаштуєте його так - наприклад, ufwза замовчуванням журнали до /var/log/kern.log. Повідомлення за допомогою системних сповіщень, безумовно, можливо, хоча я не знаю жодної такої програми (для AppArmorцього є apparmor-notify).

— влаштувати
джерело

Це здається розумним поясненням. Для тих, хто хоче використовувати apparmor-notify: встановіть його через apt, в /etc/apparmor/notify.conf змініть групу користувачів на 'adm' та додайте 'aa-notify -p' у ваші програми запуску. Потім ви можете перевірити його, запустивши подію AppArmor Denied з 'sudo tcpdump -i eth0 -n -s 0 -w / foo'

— peterrus

2

Для Linux немає таких брандмауерів. Запрошуємо прочитати дещо вичерпну дискусію з цього питання на ubuntuforums.org. Підводячи підсумок, він значною мірою зводиться до кліше - Linux! = Windows.

http://ubuntuforums.org/showthread.php?t=1591340&highlight=application+based+firewall

— що завгодно
джерело

2

Від вашого програмного центру є додаток під назвою fwanalog. Він стверджує, що він буде аналізувати зареєстровані події з налаштованого брандмауера, заснованого на iptables, такого gufw.

Він буде писати HTML-журнали, які ви можете переглядати (/ var / log / fwanalog) - результати відображаються як текстова статистика, так і як пиріг-діаграми тощо.

Це не відповідає вашій "активній" звітній частині вашого запитання - але це дозволить вам переглядати щоденну / тижневу / щомісячну статистику різних подій підключення та активного блокування.

Примітка - якщо ви знаходитесь за маршрутизатором, ви, ймовірно, отримаєте дуже мало звітів, оскільки більшість маршрутизаторів активно блокують спроби з'єднання.

— fossfreedom
джерело