quali metodi per controllare l'accesso delle applicazioni a internet?

[Amon-Ra]

gia' da un po' seguo la vicenda firewall per applicazioni su linux e non c'e' niente di decente, a quanto pare tutti nutrono una insana fiducia in tutto quello che e' linux
ho visto che le uniche soluzioni si basano su iptable, se ho ben capito e' come il firewall del router, ovvero si inseriscono le eventuali porte e ip da bloccare o altro, cosa che immagino si faccia usando una qualche applicazione che elenca gli accessi che fa quella applicazione...qual'e' questa applicazione?
possibile che non ci sia niente di niente che assomigli a un classico firewall? anche solo una finestrella che appare e ti chiede, in caso una applicazione cerchi di andare in internet, se permetterglielo o no.
please non cercate di convincermi che non ne ho bisogno.

[wizard1993]

apparte che i classici firewall come li chiami te sono quelli tipo iptables, mentre quelli che normalmente si vedono su windows sono hips vestiti da firewall, guardati selinux
http://securityblog.org/brindle/2007...-with-selinux/

[pabloski]

può dare un'occhiata a selinux e apparmor, ma se, come ho capito, sei allergico ai file di configurazione allora usa linux-firewall

ho citato solo 3 software tra i più famosi ma ce ne sono molti che fungono da firewall

c'è pure il semplicissimo gufw che è un frontend per iptables

se poi t'interessa pure controllare la navigazione via browser allora puoi usare squid e bloccare l'accesso a certi siti, a certi ip, con url che contengono certe parole, ecc....

[Amon-Ra]

Quote:

Originariamente inviato da pabloski

può dare un'occhiata a selinux e apparmor, ma se, come ho capito, sei allergico ai file di configurazione allora usa linux-firewall

dove lo trovo linux-firewall?

[pabloski]

Quote:

Originariamente inviato da Amon-Ra

dove lo trovo linux-firewall?

il sito è questo http://www.linux-firewall.org/ ma è sempre meglio usare il package manager della distribuzione in uso

se proprio non c'è allora si scarica dal sito

[Pardo]

Comunque iptables ce l'ha il filtering in base al processo (-m owner).
I cosiddetti fw di win esistono per quell'esigenza particolare di win che deriva dal fatto che purtroppo tutti i programmi sono spyware, adware, nagware e in generale sfruttano internet per effettuare operazioni contro gli interessi dell'utente o comunque fastidiose.
Win e` quasi sempre invaso dai virus ma anche i programmi leciti non e` che siano molto differenti.
Su Linux questo fatto non sussiste, nessuno sente l'esigenza su Linux di avere il fw "al contrario" come e` concepito su win per difendere il computer da se` stesso.
Ma questo non significa che non si possa fare, come ho detto la funzionalita` e` gia` presente in iptables, poi se ci siano interfacce facilitanti per attuarla non lo so, ma col match owner si puo` tranquillamente filtrare per processo o per utente/gruppo.

[Amon-Ra]

Quote:

Originariamente inviato da Pardo

Comunque iptables ce l'ha il filtering in base al processo (-m owner).
I cosiddetti fw di win esistono per quell'esigenza particolare di win che deriva dal fatto che purtroppo tutti i programmi sono spyware, adware, nagware e in generale sfruttano internet per effettuare operazioni contro gli interessi dell'utente o comunque fastidiose.
Win e` quasi sempre invaso dai virus ma anche i programmi leciti non e` che siano molto differenti.
Su Linux questo fatto non sussiste, nessuno sente l'esigenza su Linux di avere il fw "al contrario" come e` concepito su win per difendere il computer da se` stesso.
Ma questo non significa che non si possa fare, come ho detto la funzionalita` e` gia` presente in iptables, poi se ci siano interfacce facilitanti per attuarla non lo so, ma col match owner si puo` tranquillamente filtrare per processo o per utente/gruppo.

ma sbaglio o si puo' solo fare a posteriori in questo modo?

su win io faccio partire un'applicazione, il fw mi dice che tale applicazione vuole collegarsi a tale ip su tale porta, mi chiede che fare, io dico ok o no
con iptables dovrei gia' a priori sapere cosa fa l'appicazione, non mi sembra che sia il massimo, dovrei stare fisso con uno sniffer a vedere che succedere sulla rete e pigliarmi nota di cosa voglio bloccare?

ad esempio senza firewall non avrei mai scoperto che ubuntu (su virtualbox in fase di boot) si collega al server per sincronizzare l'ora, tra l'altro senza avvisare l'utente (infatti ntpdate ---> rimosso)

questo linux-firewall lo avevo gia' visto tempo addietro ma non mi sembra abbia una gran fama...

[pabloski]

no, iptables può essere configurato per bloccare tutte le connessioni in uscita, entrata o entrambe le direzione

così come lo si può configurare per bloccare le connessioni in uscita/entrata per specifici utenti o da specifici ip o interfacce di rete

tant'è che linux-firewall, ufw e tutti gli altri sono solo dei banali frontend per iptables

il motivo per cui linux-firewall e gli altri non sono così noti è che il 99% degli utenti linux preferisce configurare iptables a mano....non dimentichiamo infatti che la maggior parte delle installazioni linux sono su server e lì gli admin non usano interfacce grafiche

[Pardo]

Quote:

Originariamente inviato da Amon-Ra

su win io faccio partire un'applicazione, il fw mi dice che tale applicazione vuole collegarsi a tale ip su tale porta, mi chiede che fare, io dico ok o no
con iptables dovrei gia' a priori sapere cosa fa l'appicazione, non mi sembra che sia il massimo, dovrei stare fisso con uno sniffer a vedere che succedere sulla rete e pigliarmi nota di cosa voglio bloccare?

Quello no perche` c'e` una policy di default che di solito va impostata su drop, quindi comunque sai gia` che se qualcosa che ti serve non funziona devi intervenire, altrimenti sei tranquillo che qualsiasi pacchetto imprevisto dalle tue rules viene droppato.
Principalmente e` una cosa che imposti a priori perche` tanto lo sai gia` quali programmi si devono connettere e li addi alla lista.
Per il resto si usa il log. Un ruleset tipico finisce con una rule di log che prende tutto quello che non e` stato esplicitamente permesso prima tipo
iptables -A INPUT -m limit --limit 60/minute -j LOG --log-prefix "==Drop[unk]== "
(ed eventualmente uguale con l'OUTPUT se si filtra anche in out)
In questo modo le informazioni dei pacchetti bloccati finiscono in /var/log/syslog o chi per esso e lo puoi vedere in tempo reale col comando tail -f, vedrai li` tutto il ciarpame che ti arriva da internet e l'eventuale ciarpame che tenta di uscire.
Il --log-prefix serve a dare un'etichetta tua ai pacchetti cosi` li puoi cercare nel file di log col comando grep x estrarli dal rumore di fondo(che almeno nell'input e` sempre elevato).
Volendo si puo` sicuramente scrivere un front end che tiene d'occhio il log e ti presenta la richiesta come avviene su win, poi non so se l'abbiano fatto.

Cmq se sei cosi` paranoico cambia distribuzione! Con Slackware ti posso garantire al limone che non ci sara` mai neanche uno straccio di ntpdate a collegarsi a tua insaputa (e sicuramente niente update automatici dal repository e cazzilli del genere che immagino siano presenti o in dirittura d'arrivo su ubuntu e similari..)

[Amon-Ra]

bella spiegazione
sembra anche abbastanza fattibile, provero'.