The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux

30.04.2018 11:12

Предложены для тестирования наработки проекта OpenSnitch, в рамках которого развивается открытый аналог проприетарного динамического межсетевого экрана Little Snitch. Приложение позволяет в интерактивном режиме контролировать сетевую активность пользовательских приложений и блокировать нежелательный сетевой трафик. Код проекта написан на языке Go (GUI на Python и PyQt5) и распространяется под лицензией GPLv3.

При обнаружении попыток установки приложением сетевых соединений, не подпадающих под ранее установленные разрешения, OpenSnitch выводит пользователю диалог с предложением принять решение о продолжении сетевой операции или блокирования сетевой активности. Программа позволяет создавать достаточно гибкие правила доступа, в которых можно учитывать приложения, пользователей, целевые хосты и сетевые порты. Разрешения могут создаваться как на постоянной основе, так и ограничиваться только текущим процессом или сеансом работы пользователя. OpenSnitch также позволяет вести статистку сетевой активности приложений и выполненных блокировок.

В основе OpenSnitch лежит написанный на языке Go фоновый процесс opensnitchd, который выполняется с правами root и взаимодействует с очередью пакетов Netfilter (libnetfilter-queue), вносит изменения в правила iptables и отслеживает сетевой трафик (libpcap). Лог работы процесса сохраняется в файле /var/log/opensnitchd.log, а база правил фильтрации размещается в /etc/opensnitchd/rules, правила хранятся в формате JSON. Отдельно в непривилегированном режиме выполняется интерфейс пользователя, который написан на языке Python 3 с использованием PyQt5. Интерфейс взаимодействует с управляющим процессом через unix-сокет с использованием протокола gRPC.

  1. Главная ссылка к новости (https://github.com/evilsocket/...)
  2. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
  3. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
  4. OpenNews: Открыт код Douane, динамического межсетевого экрана для Linux
  5. OpenNews: Бывший лидер Netfilter прекратил дело о нарушении GPL и выплатит судебные издержки
  6. OpenNews: Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
Лицензия: CC-BY
Тип: Программы
Ключевые слова: firewall, opensnitch
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (115) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Афаф (?), 12:18, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я правильно понимаю что этой штукой можно пользоваться в качестве fiddler?
    какие аналоги fiddler можете посоветовать?
     
     
  • 2.28, Fenume (?), 15:59, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Charles
     
  • 2.31, kiwinix (?), 17:36, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    wireshark. Правда придется 1 раз разобраться.. А так там есть фильтр всего что он ловит.  Пишешь туда "https" и все.

    Кажись ловит https даже из хрома. Я не помню уже

     
     
  • 3.108, Аноним (-), 11:21, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Кажись ловит https даже из хрома. Я не помню уже

    Из чего угодно ловит. Если ключи дашь.

     

  • 1.3, A.Stahl (ok), 12:33, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Snitch

    Название-то какое... мерзкое.

     
     
  • 2.6, ssh (ok), 13:04, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Лучше стучать, чем перестукиваться! (с)

    С другой стороны, название напрямую объясняет суть приложения, это редкость.

     
     
  • 3.35, A.Stahl (ok), 17:46, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, а есть ли у этого слова позитивный оттенок. Мне кажется что оно имеет омерзительный смысл всегда и везде, но я не специалист, не лингвист. Я это слово слышал исключительно в смысле "крыса", но никогда в хорошем смысле если таковой имеется.
     
     
  • 4.40, Аноним (-), 18:27, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Есть. В Хогвартсе.
     
     
  • 5.42, A.Stahl (ok), 19:07, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А?
     
     
  • 6.63, Аноним (-), 01:21, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://en.wikipedia.org/wiki/Quidditch#Game_progression
     

  • 1.5, 33333333 (?), 12:57, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    если silent mode будет нормально работать, то круто да, а счас мне пока что лень такое иметь в линуксе.
     
     
  • 2.29, O_o (?), 17:03, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Если вам нужен silent mode -- настройте iptables и радуйтесь.
     
     
  • 3.109, Аноним (-), 11:34, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Если вам нужен silent mode -- настройте iptables и радуйтесь.

    Лучше контейнеры, канители меньше. Например вообще не настраивать рабочую сеть в дефолтном неймспейсе и явно вгонять в недефолтный тех кому сеть вообще нужна. Дешево и сердито. И обойти это для программы довольно проблематично. Ну то-есть если программа запускается от рута и притащит искусственный интеллект который ей сеть настроит - она это конечно обойдет. Но такие программы мне не попадались, да и под рутом я запускать программы не люблю. А CAP_NET_ADMIN на дороге все же не валяется.

     

  • 1.7, Аноним (7), 13:21, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Выглядит вкусно. Надо пробовать.
     
     
  • 2.16, Crazy Alex (ok), 14:02, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Кушайте да не обляпайтесь... Вот уж дурацкая формулировка - "вкусно"
     
     
  • 3.22, Анонец (?), 14:39, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я тоже не понимаю. У немцев растпространено про технологии или технику говорить "sexy". Изврещенцы долбаные!
     
     
  • 4.23, Аноним (-), 14:54, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У аудиофилов всё ещё сложнее. Например "контрабас звучит угловато"
     
  • 4.24, Аноним (-), 15:01, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    или "терпкий колорит старинных народных ладов"
     
     
  • 5.44, Аноним (-), 19:38, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вероятно, всё это из-за голода, ведь голод не тётка?
     
     
  • 6.51, Ordu (ok), 21:58, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, это от синестезии. Это такая странность, которая у некоторых случается в запущенном варианте, у большинства же она чуть ли не на подпороговом уровне работает. Нейросетки -- они такие: дёргаешь один вход, а уровни возбуждения меняются чуть ли не на всех нейронах.
     
  • 6.111, Аноним (-), 12:23, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вероятно, всё это из-за голода, ведь голод не тётка?

    Голод не тетка - он мужского рода.

     
     
  • 7.117, Аноним (-), 13:53, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    автор коммента писал про тётку, не про тетку
     
     
  • 8.121, Аноним (-), 15:02, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну тогда и предложение надо было начинать с заглавной буквы и заканчивать точкой... текст свёрнут, показать
     
  • 4.73, Аноним (-), 08:42, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот именно: говорить "полово(е)(я)" о технике -- это настоящие извращенцы.

    Вот только получается, что они её отыметь хотят, а вы -- сожрать. Что лучше?

     
  • 2.100, Аноним (-), 16:30, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пока ещё нет. Нужно переписать на С и опакетить.
     

  • 1.8, DmA (??), 13:30, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    нужен такой фаревол, который сканирует адресную строку браузера и разрешает коннекты и днс запросы только к тем адресам, которые ввёл пользователь!
     
     
  • 2.9, SysA (?), 13:42, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > нужен такой фаревол, который сканирует адресную строку браузера и разрешает коннекты и
    > днс запросы только к тем адресам, которые ввёл пользователь!

    Ты хоть представляешь себе, как выглядит современная веб-страничка?!.. :) Да там сотня-полторы ссылок на всякие CDNы и иже с ними... У тебя тогда почти ничего работать не будет!

     
     
  • 3.10, DmA (??), 13:45, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Не фиг тянуть контент с третьих сайтов- там в основном реклама и слежка!
     
     
  • 4.13, Аноним (-), 13:53, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ваши бы слова да нашим братьям меньшим в уши.
     
  • 4.15, Andrey Mitrofanov (?), 14:00, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Не фиг тянуть контент с третьих сайтов- там в основном реклама и
    > слежка!

    Ставишь RP https://requestpolicycontinued.github.io/ , например, или какой ни-то uMatrix или как там , в нём включаешь по умолчанию не ходить никуда, кроме домена страницы и... готовишься узнавать о своих самых обчных и привычных сайтах типа опеннета много "неосновного".  Делов-то.

    Правда, исследователи "интернетов" обнаруживают всё новые путя, которыми разработчики броузеров "отдают" тебя своим друзьям-монетизаторам.  Следить за Новостями тоже надо.  Половина HTTP, udp-websocket-ы, css-програмляние по тюрингу, ... ... ... Гугль, Микрософт, Фейсбук работают.  АНБ, Моссад, ZOG, рептилоиды довольны.

     
     
  • 5.46, Аноним (-), 20:21, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Направление развития выбрано неверно. Ну, может, следующая цыливизация... )
     
  • 5.74, Аноним (-), 08:46, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/

    > Правда, исследователи "интернетов" обнаруживают всё новые путя, которыми разработчики
    > броузеров "отдают" тебя своим друзьям-монетизаторам.  Следить за Новостями тоже надо.
    >  Половина HTTP, udp-websocket-ы, css-програмляние по тюрингу, ... ... ... Гугль,
    > Микрософт, Фейсбук работают.  АНБ, Моссад, ZOG, рептилоиды довольны.

    А тем, кто не доволен, советую бороться за отмену государства. Оное отменить нельзя, зато оно само отомрёт за ненадобностью при полной победе коммунизма.

    А пока вас будут иметь описанные Андрюшенькой конторки, да.

     
     
  • 6.85, Andrey Mitrofanov (?), 11:55, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>.. ... ... Гугль,
    >> Микрософт, Фейсбук работают.  АНБ, Моссад, ZOG, рептилоиды довольны.
    > А тем, кто не доволен, советую бороться за отмену государства.

    Из перечисленного мной к "государству" отосятся хоть как-то анб и моссад.

    "--Пал Андреич, Вы антисемит!?"

    > Оное отменить
    > А пока вас будут иметь описанные Андрюшенькой конторки, да.

     
  • 3.26, Аноним (-), 15:30, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кое-что можно смягчить через Decentraleyes и некоторые китайские поделки-аддоны, они там примерно тем же озабочены, только всерьез и надолго. :)
     
  • 3.103, Q2W (?), 19:31, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Дополнение uMatrix делает то же самое, но средствами браузера.
    И у него куча пользователей, которые сами настраивают правила про эти CDN'ы.
    Сам пользуюсь и не испытываю проблем. Но браузеру доверять не очень хочется. Лучше бы это файрвол делал.
     
  • 2.27, Аноним (-), 15:43, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    есть uMatrix, замечательный фаервол для браузера и выполняет как раз эту функцию
     
     
  • 3.87, DmA (??), 12:55, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    uMatrix для браузера конечно хорош!Остальные приложения можно заблокировать с помощью брандмауера, но если разрешены днс запросы для браузера,то и остальные приложения шлют от себя запросы к днс серверу, что я считаю не очень хорошо
     
  • 2.47, Нету (?), 20:30, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    pluckeye так может, но только вкупе с браузерным расширением
     

  • 1.11, Аноним (-), 13:47, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда я был маленький и глупый, мне тоже нравились такие штуки. Outpost Firewall 1.0 долго пользовался. Но то были времена диалапа, когда не было принято, чтобы каждая программа лезла в сеть, и уже тогда количество вопросов утомляло.
     
     
  • 2.12, DmA (??), 13:49, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Когда я был маленький и глупый, мне тоже нравились такие штуки. Outpost
    > Firewall 1.0 долго пользовался. Но то были времена диалапа, когда не
    > было принято, чтобы каждая программа лезла в сеть, и уже тогда
    > количество вопросов утомляло.

    А что изменилось: поглупели или стали слишком старым, чтобы задуматься об безопасности и смерти?

     
     
  • 3.57, Аноним (-), 23:09, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поумнел и понял, что к безопасности это никакого отношения не имеет.
     
  • 3.75, Аноним (-), 08:47, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/

    > А что изменилось: поглупели или стали слишком старым, чтобы задуматься об безопасности
    > и смерти?

    Он стал большим и с раздолбанными отверстиями, вестимо, поэтому ему скрывать (уже) нечего.

     
  • 2.17, Crazy Alex (ok), 14:03, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Уходите с винды, в линуксе с этим проще
     
     
  • 3.55, Аноним (-), 22:55, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так давно уже. Но вот и сюда эту бестолковину зачем-то пытаются притащить в очередной раз.
     
  • 2.20, Аноним84701 (ok), 14:21, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Однако работало оно тогда банальным инжектом своей DLL в процесс и хуками на вин... текст свёрнут, показать
     
     
  • 3.39, Омномним (?), 18:15, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Откуда инфа? Насколько я помню, брандмауэр использовал штатный виндовый механизм pluggable protocol (не помню, как точно называлось), т.е. ставил свой драйвер, реализующий сокеты. Этот их драйвер-перехватчик после фильтрации перенаправлял вызовы штатному драйверу.
    Это, кстати, имело некоторые побочные эффекты. В винде была возможность вызывать ReadFile с хэндлом сокета. Не помню, это официально разрешалось или это была недокументированная возможность. Так вот, после установки Outpost Firewall это больше не работало.
     
     
  • 4.45, Аноним84701 (ok), 19:47, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    От Оли Обходил прямо в ней Однако, вполне допускаю за давностью лет 2003 ... текст свёрнут, показать
     
     
  • 5.50, Омномним (?), 21:27, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1)Возможно, мы недопоняли друг друга. Я имел в виду старый добрый Outpost Firewall, еще когда его не превратили в комбайн с антивирусом и проактивной защитой. Не думаю, что в функции файервола входила защита от инжекта и прочие вещи, которыми должна заниматься ОС или антивирус.

    2)Я говорил не о Create/ReadFile с UNC путями до наружных серверов, а
        SOCKET sock = socket(AF_INET, ...);
        ReadFile(sock, ...);

     
     
  • 6.61, Аноним84701 (ok), 00:15, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Погуглил, ресурс с обсуждением к сожалению канул в Лету Точно могу сказать, ч... текст свёрнут, показать
     
  • 6.113, Аноним (-), 12:30, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >     SOCKET sock = socket(AF_INET, ...);

    Можешь вгрузить LD_PRELOAD'ом либу которая на это -1 возвращает, если делать нефиг. Это своеобразный способ обломить всяким умникам сеть, но он работает. И мало кто ожидает такое западло.

     

  • 1.14, Аноним (-), 13:57, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Неужели. 2018. Очередная попытка сделать нормальный фаерволл для приложений.
     
     
  • 2.19, Аноним (-), 14:06, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там в заголовке всплывающего диалогового окна написано "opensnitch-qt v1.0.0b" о каком "нолрмальном" фаерволе ты говоришь? Он сделан мутантами для мутантов которым "и так сойдет".
     
     
  • 3.32, kiwinix (?), 17:41, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так все делается. Скажи спасибо что не на php написано..
     
  • 2.43, angra (ok), 19:11, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Возможность фильтровать по pid была в iptables лет 15 назад, но была настолько ненужной, что ее давно выкинули. С тех пор появилось несколько вариантов контейнеров, которые решают задачу изоляции приложения куда лучше. Но некоторые всё никак не могут преодолеть синдром утенка.
     
     
  • 3.53, Аноним (-), 22:28, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, ну будем пилить изоляцию между процессами, а будем пилить контейнеры, которые не для безопасности(со слов разработчиков), а "удобства" управления. И при этом находятся одаренные, которые их используют для "изоляции"
     
     
  • 4.64, angra (ok), 01:52, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Контейнеры и разработчики бывают разные. Например есть openvz который уже много лет хостерами используется как раз для изоляции. И в отличии от какого-нибудь Xen об уязвимостях в нем слышно редко.
    Также стоило бы понимать, что есть изоляция от действий приложения и изоляция от действий человека. Это две большие разницы. С первым отлично справится и docker.
     
  • 4.107, Аноним (-), 11:00, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, ну будем пилить изоляцию между процессами, а будем пилить контейнеры, которые
    > не для безопасности(со слов разработчиков), а "удобства" управления.

    И таки кроме всего прочего они весьма удобно могут выпустить в сеть, или наоборот заизолировать, те или иные программы. Или даже выпустить программу в какую-то очень отдельную сеть, специально для нее созданную.

    И, кстати, это может например справиться и с ситуацией когда фаер еще не инициализирован или его правила почему-то не вгрузились. Например, прога может не получить сеть пока все что связано с настройкой сети не отработает. И хрен прога это оспорит.

     
  • 3.54, Титан мысли (?), 22:33, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Т.е. ты предлагаешь пихать каждое приложение в контейнер, вместо того чтобы один раз нормально настроить файрвол? Да ты просто гений.
     
     
  • 4.56, Аноним (-), 22:59, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Можешь не пихать в контейнер, достаточно запихать в cgroup. Одноимённый модуль в iptables в наличии.
     
  • 4.65, angra (ok), 01:58, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Я вот как-то за пару десятилетий не могу припомнить случая, когда мне бы был нужен фаервол уровня приложений. Так что для меня загадка, что ты там хочешь нормально настроить и чем не устраивает обычный фаервол. Однако я понимаю, что если действия какого-то приложения мне будут не по нраву, то я не захочу ограничиваться только фаерволом, а предпочту полноценную песочницу.

    Чисто из любопытства, а чем поможет фаервол приложений, если приложение для действия воспользуется вызовом другой программы, например curl?

     
     
  • 5.68, Аноним (-), 03:05, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Данная ваша позиция влияет на общую ситуацию и вы, обманув себя, обманываете д... текст свёрнут, показать
     
     
  • 6.105, angra (ok), 07:26, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так раскрой же нам правду, расскажи, зачем такой фаервол нужен Я тебе сейчас... текст свёрнут, показать
     
     
  • 7.115, Аноним (-), 13:11, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Изоляция в случае виртуалки все же покрепче чем в случае контейнера Ядро изнача... текст свёрнут, показать
     
     
  • 8.123, angra (ok), 19:26, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Титеретикам предлагается посмотреть сколько раз за последние годы обнаруживались... текст свёрнут, показать
     
     
  • 9.127, Аноним (-), 10:40, 04/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Практики читают тематические рассылки и форумы И знают, что к каждому второму э... текст свёрнут, показать
     
  • 4.114, Аноним (-), 13:01, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно 1 раз настроить отсутствие сети в дефолтном неймспейсе и рабочую сеть в не... текст свёрнут, показать
     
  • 3.84, JL2001 (ok), 11:50, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Возможность фильтровать по pid была в iptables лет 15 назад, но была
    > настолько ненужной, что ее давно выкинули. С тех пор появилось несколько
    > вариантов контейнеров, которые решают задачу изоляции приложения куда лучше. Но некоторые
    > всё никак не могут преодолеть синдром утенка.

    поделитесь скриптом для запуска "скайпа/телеграма" в контейнере ?

    а вариант с динамической настройкой правил со списком "программка ломилась туда-то" только через просмотр логов iptables?

     
     
  • 4.106, angra (ok), 07:38, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > поделитесь скриптом для запуска "скайпа/телеграма" в контейнере ?

    Мне это никогда не было нужно, так что не поделюсь. А что, есть какие-то проблемы с этими приложениями для "домохозяек"? Там же должна быть тривиальная установка.

    > а вариант с динамической настройкой правил со списком "программка ломилась туда-то" только  через просмотр логов iptables?

    Вы так говорите, как будто это что-то плохое.


     
  • 2.76, Аноним (-), 08:49, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Неужели. 2018. Очередная попытка сделать нормальный фаерволл для приложений.

    На Go с выходом на Python? Вы же пошутили, признайтесь.

     

  • 1.18, патриот (?), 14:05, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Использую vuurmuur все устраивает да конечно gui примитивный без доп описаний как в Outpost но работает как по мне все же время экономит для настройки хотя и в консоли можно правила iptables писать но лениво.
     
     
  • 2.30, Онаним (?), 17:29, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошая штука, но по процессам он же всё-равно не умеет фильтровать.
     

  • 1.21, iPony (?), 14:25, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Выглядит страшненько.
     
  • 1.25, Нанобот (ok), 15:23, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    не прошло и двадцати лет, как в линуксе начали появляться user-friendly файрволы
     
     
  • 2.38, Граммарнаци (?), 18:06, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >файрволы

    пишите с андройда, небось?

     
     
  • 3.49, Аноним (-), 20:59, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>файрволы
    > пишите с андройда, небось?

    вкусно одев пальто

     
  • 3.110, ы (?), 12:00, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >пишите с андройда, небось?

    Садись, два, «граммарнаци».

     

  • 1.36, Аноним (-), 18:02, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    прочитал "OpenSwitch", уж надеялся на открытую прошивку для нинтенды
     
     
  • 2.41, macfaq (?), 18:31, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > прочитал "OpenSwitch", уж надеялся на открытую прошивку для нинтенды

    А я - на аналог JunOS, например (:

     
     
  • 3.59, Аноним (-), 00:10, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >А я - на аналог JunOS, например (:

    Зачем вам еще один VyOS

     

  • 1.37, Аноним (-), 18:04, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >диалог с предложением принять решение
    >правила доступа, в которых можно учитывать приложения

    ДА, ЧЕРТ ПОБЕРИ, ДА. Интересно, как реализуется второе. Спам групповыми политиками?

     
     
  • 2.58, Аноним (-), 23:16, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, как реализуется второе.

    Да оборжака просто: https://github.com/evilsocket/opensnitch/blob/master/daemon/procmon/parse.go#L

     
     
  • 3.70, Аноним (-), 03:13, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще не об этом вопрос был.
     
     
  • 4.82, Аноним (-), 10:42, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще не об этом вопрос был.

    А о чём? Как фильтрация работает? Ну так NFQUEUE уже много лет как существует для этого. Хотя эти, конечно, могли и что-то более извращённое придумать.

     

  • 1.52, Новичок в файрволах (?), 22:27, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Чем оно отличается от OPNsense и IPFire? Объясните для совсем непонятливых.
     
  • 1.62, Евгений (??), 00:20, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А мне вспомнился Гарри Поттер и Квиддич. :)
     
     
  • 2.120, Аноним (-), 14:37, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А мне вспомнился Гарри Поттер и Квиддич. :)

    Поттер любит изоляцию сети BPFом и у него вся магия прописывается в конфиг юнита.

     

  • 1.67, Аноним (-), 02:49, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > написан на языке Go (GUI на Python и PyQt5)

    Надо было сразу на электроне фигачить.

     
     
  • 2.77, Аноним (-), 08:51, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> написан на языке Go (GUI на Python и PyQt5)
    > Надо было сразу на электроне фигачить.

    Жаль, что Fortran позабыт. Или даже FORTRAN. Вот на нём бы накропали лучше. А кто скажет, что не получится, тот не познал Чань.

     
     
  • 3.79, Алконим (?), 09:43, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Fortran IV - язык для настоящих мужчин . Уже фортран-77 не то -    хипстота.
     

  • 1.72, Аноним (-), 08:09, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    хорошая альтернатива, консольному iptables
     
     
  • 2.78, Аноним (-), 08:52, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > хорошая альтернатива, консольному iptables

    peer guardian есть.

     
  • 2.80, Аноним (-), 10:29, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    все равно что сказать что "пшшшаудио - альтернатива альсе". Оно основано на иптаблес, как бы. Тут скорее - годная альтернатива gufw, firestarter и прочим
     
     
  • 3.129, Аноним (-), 04:07, 01/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >gufw

    ну это Вы уж совсем планку занизили

     

  • 1.83, Аноним (-), 10:50, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Раньше говорили, что ядро не могет такое и проги нужно от разных юзеров запускать. Через 20 лет выясняется, что могет, просто никому не надо было.
    Оно как работает то вообще? Прога открывает порт и это событие фиксируется их зондодемоном? А если без порта? =)
     
     
  • 2.90, Аноним (-), 13:40, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А если без порта?

    Новое слово в сетевом программировании? Ну давай, покажи свой код "без порта".

     
     
  • 3.116, Аноним (-), 13:27, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Новое слово в сетевом программировании? Ну давай, покажи свой код "без порта".

    Например: socket(... SOCK_RAW ...). А что такое "порт" для хотя-бы ICMP?

     
     
  • 4.122, Аноним (-), 15:10, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А ты смоги сначала raw-сокеты или ICMP без рута.
     
     
  • 5.128, Аноним (-), 11:06, 04/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А ты смоги сначала raw-сокеты или ICMP без рута.

    Пожалуйста! CAP_NET_ADMIN процессу - и телемаркет. Поэтому он сможет в RAW и конфигурацию сети, но во всем остальном это может быть весьма обрубленый по правам юзерь, который и близко не рут.

     
  • 2.102, Аноним (-), 17:58, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Раньше говорили, что ядро не могет такое и проги нужно от разных
    > юзеров запускать. Через 20 лет выясняется, что могет, просто никому не
    > надо было.

    Не могёт. Но с помощью проволоки, синей изоленты, палок и ещё одной субстанции…

     

  • 1.86, JL2001 (ok), 11:57, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    нужно

    но судя по коментам выше нужно не только что оно делает, но и инструмент (в том числе с простым режимом клик-клик) для удобного запихивания программки типа "телеграмм" в подконтрольное окружение (контейнер какого-то типа? просто cgroups?)

     
     
  • 2.94, Аноним (-), 14:22, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Очень просто
    sudo adduser appsbyfsb
    sudo -u appsbyfsb
    telegram
     
     
  • 3.95, JL2001 (ok), 14:43, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Очень просто
    > sudo adduser appsbyfsb
    > sudo -u appsbyfsb
    > telegram

    это всего лишь запуск под отдельным юзером
    а где фаервол и требуемая комментариями выше контейнеризация?

     
     
  • 4.96, Аноним (-), 14:54, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > а где фаервол

    iptables
    > и требуемая комментариями выше контейнеризация?

    Запускай через браузер свои фсбшные зонды, а лучше вообще нигде. В крайнем случае установи в формате snap или flatpak.

     
     
  • 5.97, JL2001 (ok), 15:17, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> а где фаервол
    > iptables

    возможно есть некий скрипт-обёртка для болеменее автоматического запуска с таким окружением?


    >> и требуемая комментариями выше контейнеризация?
    > Запускай через браузер свои фсбшные зонды, а лучше вообще нигде. В крайнем
    > случае установи в формате snap или flatpak.

    а как snap или flatpak относятся к контейнеризации? это ж всего лишь "все дебы зависимостей ношу с собой"


    > Запускай через браузер свои фсбшные зонды, а лучше вообще нигде.

    увы мир не такой радужный, и временами требуется

     
     
  • 6.98, Аноним (-), 15:24, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > а как snap или flatpak относятся к контейнеризации?

    Это изолированные контейнеры.

    > это ж всего лишь "все дебы зависимостей ношу с собой"

    Это про AppImage.

    > увы мир не такой радужный, и временами требуется

    Это не скайп. Оно тебе точно не нужно 99%.

     
  • 6.99, Аноним (-), 15:38, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > возможно есть некий скрипт-обёртка для болеменее автоматического запуска с таким окружением?

    Можешь сделать Docker образ со всеми настройками iptables и запускать свой зонд одним кликом в будущем.

     
  • 6.119, Аноним (-), 14:30, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > возможно есть некий скрипт-обёртка для болеменее автоматического запуска с таким окружением?

    В лине такое firejail называется.

    > увы мир не такой радужный, и временами требуется

    Совсем откровенные зонды лучше в отдельную виртуалку. Не очень наглые - в контейнер.

     

  • 1.88, DmA (??), 13:01, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    есть какой-нибудь фаревол, который умеет разрешать днс запросы от одних приложений и блокировать от других?
     
     
  • 2.91, Аноним (-), 13:41, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > есть какой-нибудь фаревол, который умеет разрешать днс запросы от одних приложений и
    > блокировать от других?

    netfilter

     

  • 1.89, Аноним (89), 13:33, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Неплохо так. Но мне и голых таблисов хватает
     
  • 1.92, Аноним (-), 14:16, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Этому проекту около 5 лет. Что поменялось с того времени? Неужели таки допилили?
     
     
  • 2.101, Аноним (-), 17:56, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Этому проекту около 5 лет.

    https://github.com/evilsocket/opensnitch/commit/549af454c456f50d5ddf3c938e0b96

     

  • 1.93, Аноним (-), 14:18, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    с приходом проприетарщины в линукс, такая программа просто необходима.
     
  • 1.124, Q2W (?), 00:39, 03/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    GUI не юзабелен, ибо отжирает 100% CPU на вкладке с текущими коннектами.

    Имхо, проще написать какой-нибудь свой велосипед, который бы:
    1. просто генерил правила для iptables по дефолту логировать попытки соединений.
    2. анализировал эти логи и показывал GUI для создания правил.
    3. Писал бы эти правила в iptables.

    Ну и для интеграции с браузерами для разделения прав для отдельных сайтов достаточно расширения к нему, у которого можно было бы узнать, какой pid вкладку с каким доменом содержит. Там вроде всё просто.

     
  • 1.125, Адекват (ok), 07:25, 03/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    [code]фоновый процесс opensnitchd, который выполняется с правами root и [/code]
    как-то слишком жирно, как по мне - opensnitchd - от имени пользователя opensnitchd, а если нужно что-то поменять, то через скрипты, для которых по полному пути в /etc/sudoers что-то прописано.
    Пользователь opensnitchd без шела и пароля.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру