OpenNews: В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux

30.04.2018 11:12 В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux

Предложены для тестирования наработки проекта OpenSnitch, в рамках которого развивается открытый аналог проприетарного динамического межсетевого экрана Little Snitch. Приложение позволяет в интерактивном режиме контролировать сетевую активность пользовательских приложений и блокировать нежелательный сетевой трафик. Код проекта написан на языке Go (GUI на Python и PyQt5) и распространяется под лицензией GPLv3.

При обнаружении попыток установки приложением сетевых соединений, не подпадающих под ранее установленные разрешения, OpenSnitch выводит пользователю диалог с предложением принять решение о продолжении сетевой операции или блокирования сетевой активности. Программа позволяет создавать достаточно гибкие правила доступа, в которых можно учитывать приложения, пользователей, целевые хосты и сетевые порты. Разрешения могут создаваться как на постоянной основе, так и ограничиваться только текущим процессом или сеансом работы пользователя. OpenSnitch также позволяет вести статистку сетевой активности приложений и выполненных блокировок.

В основе OpenSnitch лежит написанный на языке Go фоновый процесс opensnitchd, который выполняется с правами root и взаимодействует с очередью пакетов Netfilter (libnetfilter-queue), вносит изменения в правила iptables и отслеживает сетевой трафик (libpcap). Лог работы процесса сохраняется в файле /var/log/opensnitchd.log, а база правил фильтрации размещается в /etc/opensnitchd/rules, правила хранятся в формате JSON. Отдельно в непривилегированном режиме выполняется интерфейс пользователя, который написан на языке Python 3 с использованием PyQt5. Интерфейс взаимодействует с управляющим процессом через unix-сокет с использованием протокола gRPC.

исправить +14 +/–

Лицензия: CC-BY

Тип: Программы

Ключевые слова: firewall, opensnitch

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Ajax/Линейный | Раскрыть все сообщения | RSS

1.1, Афаф (?), 12:18, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
Я правильно понимаю что этой штукой можно пользоваться в качестве fiddler? какие аналоги fiddler можете посоветовать?

2.28, Fenume (?), 15:59, 30/04/2018 [^] [ответить] [к модератору]	+/–
Charles

2.31, kiwinix (?), 17:36, 30/04/2018 [^] [ответить] [к модератору]	–3 +/–
wireshark. Правда придется 1 раз разобраться.. А так там есть фильтр всего что он ловит. Пишешь туда "https" и все. Кажись ловит https даже из хрома. Я не помню уже

3.108, Аноним (-), 11:21, 02/05/2018 [^] [ответить] [к модератору]

+/–

> Кажись ловит https даже из хрома. Я не помню уже

Из чего угодно ловит. Если ключи дашь.

1.3, A.Stahl (ok), 12:33, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	+1 +/–
>Snitch Название-то какое... мерзкое.

2.6, ssh (ok), 13:04, 30/04/2018 [^] [ответить] [к модератору]	+5 +/–
Лучше стучать, чем перестукиваться! (с) С другой стороны, название напрямую объясняет суть приложения, это редкость.

3.35, A.Stahl (ok), 17:46, 30/04/2018 [^] [ответить] [к модератору]	+/–
Интересно, а есть ли у этого слова позитивный оттенок Мне кажется что оно имеет... весь текст скрыт [показать]

4.40, Аноним (-), 18:27, 30/04/2018 [^] [ответить] [к модератору]	+6 +/–
Есть. В Хогвартсе.

5.42, A.Stahl (ok), 19:07, 30/04/2018 [^] [ответить] [к модератору]	+1 +/–
А?

6.63, Аноним (-), 01:21, 01/05/2018 [^] [ответить] [к модератору]	+/–
https://en.wikipedia.org/wiki/Quidditch#Game_progression

1.5, 33333333 (?), 12:57, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	–1 +/–
если silent mode будет нормально работать, то круто да, а счас мне пока что лень такое иметь в линуксе.

2.29, O_o (?), 17:03, 30/04/2018 [^] [ответить] [к модератору]	+4 +/–
Если вам нужен silent mode -- настройте iptables и радуйтесь.

3.109, Аноним (-), 11:34, 02/05/2018 [^] [ответить] [к модератору]	–2 +/–
Лучше контейнеры, канители меньше Например вообще не настраивать рабочую сеть в... весь текст скрыт [показать]

1.7, Аноним (7), 13:21, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	–2 +/–
Выглядит вкусно. Надо пробовать.

2.16, Crazy Alex (ok), 14:02, 30/04/2018 [^] [ответить] [к модератору]	+8 +/–
Кушайте да не обляпайтесь... Вот уж дурацкая формулировка - "вкусно"

3.22, Анонец (?), 14:39, 30/04/2018 [^] [ответить] [к модератору]	+1 +/–
Я тоже не понимаю. У немцев растпространено про технологии или технику говорить "sexy". Изврещенцы долбаные!

4.23, Аноним (-), 14:54, 30/04/2018 [^] [ответить] [к модератору]	+/–
У аудиофилов всё ещё сложнее. Например "контрабас звучит угловато"

4.24, Аноним (-), 15:01, 30/04/2018 [^] [ответить] [к модератору]	+/–
или "терпкий колорит старинных народных ладов"

5.44, Аноним (-), 19:38, 30/04/2018 [^] [ответить] [к модератору]	+/–
Вероятно, всё это из-за голода, ведь голод не тётка?

6.51, Ordu (ok), 21:58, 30/04/2018 [^] [ответить] [к модератору]	+2 +/–
Нет, это от синестезии Это такая странность, которая у некоторых случается в за... весь текст скрыт [показать]

6.111, Аноним (-), 12:23, 02/05/2018 [^] [ответить] [к модератору]	+/–
> Вероятно, всё это из-за голода, ведь голод не тётка? Голод не тетка - он мужского рода.

7.117, Аноним (-), 13:53, 02/05/2018 [^] [ответить] [к модератору]	+1 +/–
автор коммента писал про тётку, не про тетку

8.121, Аноним (-), 15:02, 02/05/2018 [^] [ответить] [к модератору]	+/–
> автор коммента писал про тётку, не про тетку Ну тогда и предложение надо было начинать с заглавной буквы и заканчивать точкой.

4.73, Аноним (-), 08:42, 01/05/2018 [^] [ответить] [к модератору]	–1 +/–
Вот именно: говорить "полово(е)(я)" о технике -- это настоящие извращенцы. Вот только получается, что они её отыметь хотят, а вы -- сожрать. Что лучше?

2.100, Аноним (-), 16:30, 01/05/2018 [^] [ответить] [к модератору]	+/–
Пока ещё нет. Нужно переписать на С и опакетить.

1.8, DmA (??), 13:30, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	–8 +/–
нужен такой фаревол, который сканирует адресную строку браузера и разрешает коннекты и днс запросы только к тем адресам, которые ввёл пользователь!

2.9, SysA (?), 13:42, 30/04/2018 [^] [ответить] [к модератору]	+4 +/–
Ты хоть представляешь себе, как выглядит современная веб-страничка Да там... весь текст скрыт [показать]

3.10, DmA (??), 13:45, 30/04/2018 [^] [ответить] [к модератору]	–3 +/–
Не фиг тянуть контент с третьих сайтов- там в основном реклама и слежка!

4.13, Аноним (-), 13:53, 30/04/2018 [^] [ответить] [к модератору]	–1 +/–
ваши бы слова да нашим братьям меньшим в уши.

4.15, Andrey Mitrofanov (?), 14:00, 30/04/2018 [^] [ответить] [к модератору]	+3 +/–
Ставишь RP https requestpolicycontinued github io , например, или какой ни-то... весь текст скрыт [показать]

5.46, Аноним (-), 20:21, 30/04/2018 [^] [ответить] [к модератору]	+1 +/–
Направление развития выбрано неверно. Ну, может, следующая цыливизация... )

5.74, Аноним (-), 08:46, 01/05/2018 [^] [ответить] [к модератору]	+1 +/–
А тем, кто не доволен, советую бороться за отмену государства Оное отменить нел... весь текст скрыт [показать]

6.85, Andrey Mitrofanov (?), 11:55, 01/05/2018 [^] [ответить] [к модератору]	+/–
Из перечисленного мной к государству отосятся хоть как-то анб и моссад --Пал... весь текст скрыт [показать]

3.26, Аноним (-), 15:30, 30/04/2018 [^] [ответить] [к модератору]	+/–
Кое-что можно смягчить через Decentraleyes и некоторые китайские поделки-аддоны, они там примерно тем же озабочены, только всерьез и надолго. :)

3.103, Q2W (?), 19:31, 01/05/2018 [^] [ответить] [к модератору]	+/–
Дополнение uMatrix делает то же самое, но средствами браузера И у него куча пол... весь текст скрыт [показать]

2.27, Аноним (-), 15:43, 30/04/2018 [^] [ответить] [к модератору]	+/–
есть uMatrix, замечательный фаервол для браузера и выполняет как раз эту функцию

3.87, DmA (??), 12:55, 01/05/2018 [^] [ответить] [к модератору]	+/–
uMatrix для браузера конечно хорош Остальные приложения можно заблокировать с по... весь текст скрыт [показать]

2.47, Нету (?), 20:30, 30/04/2018 [^] [ответить] [к модератору]	+/–
pluckeye так может, но только вкупе с браузерным расширением

....нить скрыта, показать (12)

1.11, Аноним (-), 13:47, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
Когда я был маленький и глупый, мне тоже нравились такие штуки Outpost Firewall... весь текст скрыт [показать]

2.12, DmA (??), 13:49, 30/04/2018 [^] [ответить] [к модератору]	+2 +/–
А что изменилось поглупели или стали слишком старым, чтобы задуматься об безопа... весь текст скрыт [показать]

3.57, Аноним (-), 23:09, 30/04/2018 [^] [ответить] [к модератору]	+1 +/–
Поумнел и понял, что к безопасности это никакого отношения не имеет.

3.75, Аноним (-), 08:47, 01/05/2018 [^] [ответить] [к модератору]	–3 +/–
> А что изменилось: поглупели или стали слишком старым, чтобы задуматься об безопасности > и смерти? Он стал большим и с раздолбанными отверстиями, вестимо, поэтому ему скрывать (уже) нечего.

2.17, Crazy Alex (ok), 14:03, 30/04/2018 [^] [ответить] [к модератору]	+/–
Уходите с винды, в линуксе с этим проще

3.55, Аноним (-), 22:55, 30/04/2018 [^] [ответить] [к модератору]	+/–
Так давно уже. Но вот и сюда эту бестолковину зачем-то пытаются притащить в очередной раз.

2.20, Аноним84701 (ok), 14:21, 30/04/2018 [^] [ответить] [к модератору]	+2 +/–
Однако работало оно тогда банальным инжектом своей DLL в процесс и хуками на вин... весь текст скрыт [показать]

3.39, Омномним (?), 18:15, 30/04/2018 [^] [ответить] [к модератору]	+1 +/–
Откуда инфа Насколько я помню, брандмауэр использовал штатный виндовый механизм... весь текст скрыт [показать]

4.45, Аноним84701 (ok), 19:47, 30/04/2018 [^] [ответить] [к модератору]	+2 +/–
От Оли Обходил прямо в ней Однако, вполне допускаю за давностью лет 2003 ... весь текст скрыт [показать]

5.50, Омномним (?), 21:27, 30/04/2018 [^] [ответить] [к модератору]	+1 +/–
1 Возможно, мы недопоняли друг друга Я имел в виду старый добрый Outpost Firewa... весь текст скрыт [показать]

6.61, Аноним84701 (ok), 00:15, 01/05/2018 [^] [ответить] [к модератору]	+/–
Погуглил, ресурс с обсуждением к сожалению канул в Лету Точно могу сказать, ч... весь текст скрыт [показать]

6.113, Аноним (-), 12:30, 02/05/2018 [^] [ответить] [к модератору]	+/–
Можешь вгрузить LD_PRELOAD ом либу которая на это -1 возвращает, если делать неф... весь текст скрыт [показать]

....нить скрыта, показать (11)

1.14, Аноним (-), 13:57, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	–3 +/–
Неужели. 2018. Очередная попытка сделать нормальный фаерволл для приложений.

2.19, Аноним (-), 14:06, 30/04/2018 [^] [ответить] [к модератору]	–1 +/–
Там в заголовке всплывающего диалогового окна написано "opensnitch-qt v1.0.0b" о каком "нолрмальном" фаерволе ты говоришь? Он сделан мутантами для мутантов которым "и так сойдет".

3.32, kiwinix (?), 17:41, 30/04/2018 [^] [ответить] [к модератору]	+/–
Так все делается. Скажи спасибо что не на php написано..

2.43, angra (ok), 19:11, 30/04/2018 [^] [ответить] [к модератору]	+2 +/–
Возможность фильтровать по pid была в iptables лет 15 назад, но была настолько н... весь текст скрыт [показать]

3.53, Аноним (-), 22:28, 30/04/2018 [^] [ответить] [к модератору]	+/–
Ага, ну будем пилить изоляцию между процессами, а будем пилить контейнеры, котор... весь текст скрыт [показать]

4.64, angra (ok), 01:52, 01/05/2018 [^] [ответить] [к модератору]	–2 +/–
Контейнеры и разработчики бывают разные Например есть openvz который уже много ... весь текст скрыт [показать]

4.107, Аноним (-), 11:00, 02/05/2018 [^] [ответить] [к модератору]	+/–
И таки кроме всего прочего они весьма удобно могут выпустить в сеть, или наоборо... весь текст скрыт [показать]

3.54, Титан мысли (?), 22:33, 30/04/2018 [^] [ответить] [к модератору]	+4 +/–
Т.е. ты предлагаешь пихать каждое приложение в контейнер, вместо того чтобы один раз нормально настроить файрвол? Да ты просто гений.

4.56, Аноним (-), 22:59, 30/04/2018 [^] [ответить] [к модератору]	+/–
Можешь не пихать в контейнер, достаточно запихать в cgroup. Одноимённый модуль в iptables в наличии.

4.65, angra (ok), 01:58, 01/05/2018 [^] [ответить] [к модератору]	+4 +/–
Я вот как-то за пару десятилетий не могу припомнить случая, когда мне бы был нуж... весь текст скрыт [показать]

5.68, Аноним (-), 03:05, 01/05/2018 [^] [ответить] [к модератору]	–1 +/–
Данная ваша позиция влияет на общую ситуацию и вы, обманув себя, обманываете д... весь текст скрыт [показать]

6.105, angra (ok), 07:26, 02/05/2018 [^] [ответить] [к модератору]	+1 +/–
Ну так раскрой же нам правду, расскажи, зачем такой фаервол нужен Я тебе сейчас... весь текст скрыт [показать]

7.115, Аноним (-), 13:11, 02/05/2018 [^] [ответить] [к модератору]	+1 +/–
Изоляция в случае виртуалки все же покрепче чем в случае контейнера Ядро изнача... весь текст скрыт [показать]

8.123, angra (ok), 19:26, 02/05/2018 [^] [ответить] [к модератору]	+/–
Титеретикам предлагается посмотреть сколько раз за последние годы обнаруживались... весь текст скрыт [показать]

9.127, Аноним (-), 10:40, 04/05/2018 [^] [ответить] [к модератору]	+/–
Практики читают тематические рассылки и форумы И знают, что к каждому второму э... весь текст скрыт [показать]

4.114, Аноним (-), 13:01, 02/05/2018 [^] [ответить] [к модератору]	+1 +/–
Можно 1 раз настроить отсутствие сети в дефолтном неймспейсе и рабочую сеть в не... весь текст скрыт [показать]

3.84, JL2001 (ok), 11:50, 01/05/2018 [^] [ответить] [к модератору]	+/–
поделитесь скриптом для запуска скайпа телеграма в контейнере а вариант с ди... весь текст скрыт [показать]

4.106, angra (ok), 07:38, 02/05/2018 [^] [ответить] [к модератору]	+/–
Мне это никогда не было нужно, так что не поделюсь А что, есть какие-то проблем... весь текст скрыт [показать]

2.76, Аноним (-), 08:49, 01/05/2018 [^] [ответить] [к модератору]

+/–

> Неужели. 2018. Очередная попытка сделать нормальный фаерволл для приложений.

На Go с выходом на Python? Вы же пошутили, признайтесь.

....нить скрыта, показать (18)

1.18, патриот (?), 14:05, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
Использую vuurmuur все устраивает да конечно gui примитивный без доп описаний как в Outpost но работает как по мне все же время экономит для настройки хотя и в консоли можно правила iptables писать но лениво.

2.30, Онаним (?), 17:29, 30/04/2018 [^] [ответить] [к модератору]	+/–
Хорошая штука, но по процессам он же всё-равно не умеет фильтровать.

1.21, iPony (?), 14:25, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
Выглядит страшненько.

1.25, Нанобот (ok), 15:23, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	–1 +/–
не прошло и двадцати лет, как в линуксе начали появляться user-friendly файрволы

2.38, Граммарнаци (?), 18:06, 30/04/2018 [^] [ответить] [к модератору]	+3 +/–
>файрволы пишите с андройда, небось?

3.49, Аноним (-), 20:59, 30/04/2018 [^] [ответить] [к модератору]	+1 +/–
>>файрволы > пишите с андройда, небось? вкусно одев пальто

3.110, ы (?), 12:00, 02/05/2018 [^] [ответить] [к модератору]	+/–
>пишите с андройда, небось? Садись, два, «граммарнаци».

1.36, Аноним (-), 18:02, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
прочитал "OpenSwitch", уж надеялся на открытую прошивку для нинтенды

2.41, macfaq (?), 18:31, 30/04/2018 [^] [ответить] [к модератору]	+/–
> прочитал "OpenSwitch", уж надеялся на открытую прошивку для нинтенды А я - на аналог JunOS, например (:

3.59, Аноним (-), 00:10, 01/05/2018 [^] [ответить] [к модератору]	+/–
>А я - на аналог JunOS, например (: Зачем вам еще один VyOS

1.37, Аноним (-), 18:04, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
>диалог с предложением принять решение >правила доступа, в которых можно учитывать приложения ДА, ЧЕРТ ПОБЕРИ, ДА. Интересно, как реализуется второе. Спам групповыми политиками?

2.58, Аноним (-), 23:16, 30/04/2018 [^] [ответить] [к модератору]	+/–
> Интересно, как реализуется второе. Да оборжака просто: https://github.com/evilsocket/opensnitch/blob/master/daemon/procmon/parse.go#L

3.70, Аноним (-), 03:13, 01/05/2018 [^] [ответить] [к модератору]	+/–
Вообще не об этом вопрос был.

4.82, Аноним (-), 10:42, 01/05/2018 [^] [ответить] [к модератору]	+/–
> Вообще не об этом вопрос был. А о чём? Как фильтрация работает? Ну так NFQUEUE уже много лет как существует для этого. Хотя эти, конечно, могли и что-то более извращённое придумать.

1.52, Новичок в файрволах (?), 22:27, 30/04/2018 [ответить] [показать ветку] [···] [к модератору]	+4 +/–
Чем оно отличается от OPNsense и IPFire? Объясните для совсем непонятливых.

1.62, Евгений (??), 00:20, 01/05/2018 [ответить] [показать ветку] [···] [к модератору]	+2 +/–
А мне вспомнился Гарри Поттер и Квиддич. :)

2.120, Аноним (-), 14:37, 02/05/2018 [^] [ответить] [к модератору]	+/–
> А мне вспомнился Гарри Поттер и Квиддич. :) Поттер любит изоляцию сети BPFом и у него вся магия прописывается в конфиг юнита.

1.67, Аноним (-), 02:49, 01/05/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
> написан на языке Go (GUI на Python и PyQt5) Надо было сразу на электроне фигачить.

2.77, Аноним (-), 08:51, 01/05/2018 [^] [ответить] [к модератору]	+/–
Жаль, что Fortran позабыт Или даже FORTRAN Вот на нём бы накропали лучше А кт... весь текст скрыт [показать]

3.79, Алконим (?), 09:43, 01/05/2018 [^] [ответить] [к модератору]	+/–
Fortran IV - язык для настоящих мужчин . Уже фортран-77 не то - хипстота.

1.72, Аноним (-), 08:09, 01/05/2018 [ответить] [показать ветку] [···] [к модератору]	–3 +/–
хорошая альтернатива, консольному iptables

2.78, Аноним (-), 08:52, 01/05/2018 [^] [ответить] [к модератору]	+/–
> хорошая альтернатива, консольному iptables peer guardian есть.

2.80, Аноним (-), 10:29, 01/05/2018 [^] [ответить] [к модератору]	+/–
все равно что сказать что "пшшшаудио - альтернатива альсе". Оно основано на иптаблес, как бы. Тут скорее - годная альтернатива gufw, firestarter и прочим

1.83, Аноним (-), 10:50, 01/05/2018 [ответить] [показать ветку] [···] [к модератору]	–2 +/–
Раньше говорили, что ядро не могет такое и проги нужно от разных юзеров запускат... весь текст скрыт [показать]

2.90, Аноним (-), 13:40, 01/05/2018 [^] [ответить] [к модератору]	+/–
> А если без порта? Новое слово в сетевом программировании? Ну давай, покажи свой код "без порта".

3.116, Аноним (-), 13:27, 02/05/2018 [^] [ответить] [к модератору]	+/–
> Новое слово в сетевом программировании? Ну давай, покажи свой код "без порта". Например: socket(... SOCK_RAW ...). А что такое "порт" для хотя-бы ICMP?

4.122, Аноним (-), 15:10, 02/05/2018 [^] [ответить] [к модератору]	+/–
А ты смоги сначала raw-сокеты или ICMP без рута.

5.128, Аноним (-), 11:06, 04/05/2018 [^] [ответить] [к модератору]	+/–
Пожалуйста CAP_NET_ADMIN процессу - и телемаркет Поэтому он сможет в RAW и кон... весь текст скрыт [показать]

2.102, Аноним (-), 17:58, 01/05/2018 [^] [ответить] [к модератору]	+/–
Не могёт Но с помощью проволоки, синей изоленты, палок и ещё одной субстанции ... весь текст скрыт [показать]

1.86, JL2001 (ok), 11:57, 01/05/2018 [ответить] [показать ветку] [···] [к модератору]	–1 +/–
нужно но судя по коментам выше нужно не только что оно делает, но и инструмент (в том числе с простым режимом клик-клик) для удобного запихивания программки типа "телеграмм" в подконтрольное окружение (контейнер какого-то типа? просто cgroups?)

2.94, Аноним (-), 14:22, 01/05/2018 [^] [ответить] [к модератору]	+/–
Очень просто sudo adduser appsbyfsb sudo -u appsbyfsb telegram

3.95, JL2001 (ok), 14:43, 01/05/2018 [^] [ответить] [к модератору]	+/–
> Очень просто > sudo adduser appsbyfsb > sudo -u appsbyfsb > telegram это всего лишь запуск под отдельным юзером а где фаервол и требуемая комментариями выше контейнеризация?

4.96, Аноним (-), 14:54, 01/05/2018 [^] [ответить] [к модератору]

+/–

> а где фаервол

iptables
> и требуемая комментариями выше контейнеризация?

Запускай через браузер свои фсбшные зонды, а лучше вообще нигде. В крайнем случае установи в формате snap или flatpak.

5.97, JL2001 (ok), 15:17, 01/05/2018 [^] [ответить] [к модератору]	+/–
возможно есть некий скрипт-обёртка для болеменее автоматического запуска с таким... весь текст скрыт [показать]

6.98, Аноним (-), 15:24, 01/05/2018 [^] [ответить] [к модератору]	+/–
Это изолированные контейнеры Это про AppImage Это не скайп Оно тебе точно не ... весь текст скрыт [показать]

6.99, Аноним (-), 15:38, 01/05/2018 [^] [ответить] [к модератору]	+/–
Можешь сделать Docker образ со всеми настройками iptables и запускать свой зонд ... весь текст скрыт [показать]

6.119, Аноним (-), 14:30, 02/05/2018 [^] [ответить] [к модератору]	+/–
В лине такое firejail называется Совсем откровенные зонды лучше в отдельную вир... весь текст скрыт [показать]

1.88, DmA (??), 13:01, 01/05/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
есть какой-нибудь фаревол, который умеет разрешать днс запросы от одних приложений и блокировать от других?

2.91, Аноним (-), 13:41, 01/05/2018 [^] [ответить] [к модератору]	+/–
> есть какой-нибудь фаревол, который умеет разрешать днс запросы от одних приложений и > блокировать от других? netfilter

1.89, Аноним (89), 13:33, 01/05/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
Неплохо так. Но мне и голых таблисов хватает

1.92, Аноним (-), 14:16, 01/05/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
Этому проекту около 5 лет. Что поменялось с того времени? Неужели таки допилили?

2.101, Аноним (-), 17:56, 01/05/2018 [^] [ответить] [к модератору]	+/–
> Этому проекту около 5 лет. https://github.com/evilsocket/opensnitch/commit/549af454c456f50d5ddf3c938e0b96

1.93, Аноним (-), 14:18, 01/05/2018 [ответить] [показать ветку] [···] [к модератору]	–3 +/–
с приходом проприетарщины в линукс, такая программа просто необходима.

1.124, Q2W (?), 00:39, 03/05/2018 [ответить] [показать ветку] [···] [к модератору]

+/–

GUI не юзабелен, ибо отжирает 100% CPU на вкладке с текущими коннектами.

Имхо, проще написать какой-нибудь свой велосипед, который бы:
1. просто генерил правила для iptables по дефолту логировать попытки соединений.
2. анализировал эти логи и показывал GUI для создания правил.
3. Писал бы эти правила в iptables.

Ну и для интеграции с браузерами для разделения прав для отдельных сайтов достаточно расширения к нему, у которого можно было бы узнать, какой pid вкладку с каким доменом содержит. Там вроде всё просто.

1.125, Адекват (ok), 07:25, 03/05/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
[code]фоновый процесс opensnitchd, который выполняется с правами root и [/code] как-то слишком жирно, как по мне - opensnitchd - от имени пользователя opensnitchd, а если нужно что-то поменять, то через скрипты, для которых по полному пути в /etc/sudoers что-то прописано. Пользователь opensnitchd без шела и пароля.

Добавить комментарий