The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск межсетевого экрана firewalld 1.2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от opennews (?), 02-Июл-22, 11:58 
Опубликован релиз динамически управляемого межсетевого экрана firewalld 1.2, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке  Python и распространяется под лицензией GPLv2...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57441

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск межсетевого экрана firewalld 1.2"  –3 +/
Сообщение от Alladin (?), 02-Июл-22, 11:58 
Чем это лучше ufw и удобного gufw?
Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от псевдоеимус (?), 02-Июл-22, 14:22 
они обертки. а он уровнем ниже и г-о.
Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск межсетевого экрана firewalld 1.2"  +3 +/
Сообщение от Anonim (??), 02-Июл-22, 15:44 
Он лучше буквально во всём. Попробуй и сам поймёшь. Разработчикам респект и уважение.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

56. "Выпуск межсетевого экрана firewalld 1.2"  –2 +/
Сообщение от Аноним (56), 02-Июл-22, 23:27 
> Чем это лучше ...

Ничем. Как видишь суффикс *d - выпиливай под корень.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

63. "Выпуск межсетевого экрана firewalld 1.2"  +2 +/
Сообщение от Аноним (63), 03-Июл-22, 14:12 
Начни с ntpd.
Ответить | Правка | Наверх | Cообщить модератору

85. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Минона (ok), 04-Июл-22, 15:59 
В centos он выпилен в пользу chrony
Ответить | Правка | Наверх | Cообщить модератору

90. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (90), 05-Июл-22, 10:18 
Так chronyd же... Придется выпиливать (

   1691 ?        S      0:00 /usr/sbin/chronyd -F 2

Ответить | Правка | Наверх | Cообщить модератору

91. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (90), 05-Июл-22, 10:20 
Ну httpd заменим на nginx. atd, crond - выкинуть заменив systemd-timers. smbd - нефиг виндузятникам потакать, пусть ставят нормальные ОС, выкинем.

А что брать вместо rsyslogd? Вместо smartd? Вместо sshd, наконец?

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

2. "Выпуск межсетевого экрана firewalld 1.2"  +9 +/
Сообщение от Аноним (2), 02-Июл-22, 11:59 
iptables и так надстройка над netfilter зачем дополнительная надстройка над надстройкой?
Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск межсетевого экрана firewalld 1.2"  +3 +/
Сообщение от DeerFriend (?), 02-Июл-22, 12:17 
Когда иптаблесы заменяют на нфтаблесы, не все успевают или горят желанием погружаться в изменения.
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск межсетевого экрана firewalld 1.2"  +3 +/
Сообщение от Аноним (2), 02-Июл-22, 13:27 
так при смене бинарнечек и делает все поправки (что то типа iptables-old) пихаешь ему старый синтаксис он плюнет новый уже под нфтейбл

опять вопрос - зачем надстройка?

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск межсетевого экрана firewalld 1.2"  +4 +/
Сообщение от псевдоеимус (?), 02-Июл-22, 14:23 
чтобы было непонятно, как обрабатывается пакет. магия, ололо!
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от anonymouse (?), 02-Июл-22, 13:25 
не надстройка, а пользовательский интерфейс для управления. Желаю удачи юзать netfilter без "надстроек".
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

13. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от Аноним (2), 02-Июл-22, 13:27 
пасибо уже юзаю без надстроек, чего и всем желаю
Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск межсетевого экрана firewalld 1.2"  –1 +/
Сообщение от Олежа (?), 02-Июл-22, 12:02 
Ждём в Debian!
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск межсетевого экрана firewalld 1.2"  –1 +/
Сообщение от Аноним (14), 02-Июл-22, 13:38 
Не жди, просто поставь из репозиториев.
Не знаю, как в Debian, но в Ubuntu 20.04 он ставится одной командой... (Версия 0.82)
Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 12:02 
>при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб

прям ngfw какой-то

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск межсетевого экрана firewalld 1.2"  –2 +/
Сообщение от QwertyReg (ok), 02-Июл-22, 14:40 
И в каком месте?
Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск межсетевого экрана firewalld 1.2"  +2 +/
Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 14:51 
> И в каком месте?

в том, что "при создании правил отталкивается" от сервисов (аппликейшенов) именно ngfw разобрав сам протокол. Отсюда и весь абсурд, казаться тем чем не являешься.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ыы (?), 02-Июл-22, 15:24 
> разобрав сам протокол.

Разве данная программа разбирает какието протоколы? Она отталкивается от алиасов для некоторых чисел.
Каким образом навешивание алиаса на номер порта "разбирает протокол" - загадка :)

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск межсетевого экрана firewalld 1.2"  +2 +/
Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 15:30 
> Разве данная программа разбирает какието протоколы? Она отталкивается от алиасов для некоторых
> чисел.

вот и написал "прям ngfw какой-то", то есть -  не разбирает протоколы, но оперирует понятием сервисов (аппликейшенов)

> Каким образом навешивание алиаса на номер порта "разбирает протокол" - загадка :)

ну как минимум "разбирает протокол" уровней L3/L4


Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск межсетевого экрана firewalld 1.2"  +5 +/
Сообщение от Аноним (5), 02-Июл-22, 12:05 
Релиз обёртки над фаерволлами. Называйте вещи своими именами.
Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Ку (?), 02-Июл-22, 19:36 
Что не является оберткой и как этим управлять?
Ответить | Правка | Наверх | Cообщить модератору

81. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от pfg21 (ok), 04-Июл-22, 14:56 
ну дык истинный бог. который онные атомы для оберток и наштамповал.  
управлять, расти тебе дитятко до ентого... еще долго и трудно...
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск межсетевого экрана firewalld 1.2"  –5 +/
Сообщение от Аноним (9), 02-Июл-22, 13:16 
И насколько роняет производительность эта безопасность. В ядре безопасности роняющее производительность, в интерфейсах.
Плотиш тыщи лиш бы не логало - современный мир.
Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ixpert (?), 02-Июл-22, 13:56 
Динамически изменять правила пакетного фильтра через D-Bus - это так важно для сервера потому что там ничего не меняется после установки, и этот фоновый процесс обязательно нужен вам. Мне нет, сразу удаляю.
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (63), 02-Июл-22, 14:32 
Кроме твоего локалхоста существует ещё столько всего — целый мир! Подрастешь, пойдешь работать и сам увидишь.
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ixpert (?), 02-Июл-22, 15:16 
ваша убогая шутка про localhost настолько в тему, что это убожество только и запускать на localhostе из за кучи гуевых программок которым вдруг понадобился входящий трафик.
Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (67), 03-Июл-22, 18:59 
здесь это самая уместная шутка, ведь уровень комментаторов ей полностью соответствует
Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Aninim (?), 02-Июл-22, 17:44 
вообще все настройки делаютя на фаерволах инфраструктуры (циски жуниперы брокейды ил  хуавеи - кому что нравится/купили) а не на серверах
да и с кубом он сам всем управляет сетью без шаловливых ручек одмина
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

71. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (71), 03-Июл-22, 20:29 
А вот и мамкины ибэшники подъехали, у которых внутри домашнего ланчика фаерволлы не нужны.
Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от 1 (??), 04-Июл-22, 11:39 
*V*ланчика
Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от bOOster (ok), 04-Июл-22, 11:29 
Это точно, поголовно лезут в IT даже те кто ничерта в этом не понимает и в целом не хотят понимать. В результат выплывают вот такие вот поделки. Облегчить жизнь лохам и осложняющую серверную платформу в принципе.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

16. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ананоша (?), 02-Июл-22, 14:14 
Если ссх не на 22 порту, оно сработает?
Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 14:57 
> Если ссх не на 22 порту, оно сработает?

конечно, откроет вам тупо 22 порт, тут список /usr/lib/firewalld/services/

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>


Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ыы (?), 02-Июл-22, 15:13 
а выражения в элементах поддерживает?
что-то вроде
<port protocol="(select proto from tcp://myhost/proto)" port="http://myssite/queryfirewaldd"/>
?
Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 15:31 
> а выражения в элементах поддерживает?
> что-то вроде
> <port protocol="(select proto from tcp://myhost/proto)" port="http://myssite/queryfirewaldd"/>

должен если ngwf


Ответить | Правка | Наверх | Cообщить модератору

92. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (90), 05-Июл-22, 10:22 
Так для этого поддерживается добавление своего сервиса sshd-my-cool-port...
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

17. "Выпуск межсетевого экрана firewalld 1.2"  –1 +/
Сообщение от псевдоеимус (?), 02-Июл-22, 14:14 
мало того, что убогое, так еще завязано на дбус.

и после этого линуксоиды смеются над 3 пакетными фильтрами в бзде.

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Anonimussh (?), 02-Июл-22, 17:48 
я кайфую от PF особено его таблички искаропки, и не надо, что то типа ipset городить
Ответить | Правка | Наверх | Cообщить модератору

68. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от Аноним (67), 03-Июл-22, 19:00 
> мало того, что убогое,

твою биографию тут все уже наизусть знают

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

78. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (78), 04-Июл-22, 14:07 
В БЗДе нет Дбус?
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

83. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от BorichL (ok), 04-Июл-22, 15:52 
В базовой системе конечно нет, нахрена там этот дерибас? Уязвимости собирать? Если тебе надо dbus - ставишь из портов, а так ну нахрен он например в FAMP'е?
Ответить | Правка | Наверх | Cообщить модератору

96. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от псевдоеимус (?), 05-Июл-22, 19:27 
штатно конечно нет. омнопроги тянут по зависимостям.
Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

21. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Брандмауэр без Root (?), 02-Июл-22, 14:30 
https://play.google.com/store/apps/details?id=app.greyshirts...
такое надо.
Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ыы (?), 02-Июл-22, 15:21 
Это же классно! Можно описать сервисы своими именами потом выдавать команды
"firewall-cmd --add --service=ПолетШмеляНадГранатом"
Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от нига (?), 02-Июл-22, 17:49 
залетаешь такой и начинает исслудование и раскопки что и где накручено наверчено
Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ыы (?), 02-Июл-22, 19:22 
так для того же и сделано. разве нет?
Ответить | Правка | Наверх | Cообщить модератору

93. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (90), 05-Июл-22, 10:24 
Это фигня. Куда важнее фича что можно открыть порт на минуту или на 10 минут, типа нужно что-то проверить или эксперимент произвести, а потом не забывать закрыть. Вот firewalld сам закроет ка было через заданное время.

Очень полезная фича при поиске неясных проблем.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

94. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от gapsf2 (ok), 05-Июл-22, 11:26 
Вот наивные - думают, что это некий эксклюзив firewalld и что только благодаря firewalld такое возможно.
Это не так.
Реализовано это (может быть) с помощью возможностей ipset: при добавлении в список можно указать таймаут, по истечении которого элемент будет удален из списка *автоматически* (т.е. ядром).
Ну и очевидно, примитивно манипуляцией правилами iptables/nftabels через cron.
Ответить | Правка | Наверх | Cообщить модератору

95. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от Аноним (90), 05-Июл-22, 12:36 
Брр. Почему *только*?

Это очевидно делается руками или через крон. Просто firewalld делает это автоматически, убирая риски забывчивости. Типа "вот мне порт открыть на минуту, погонять iperf" а потом гоняем 5 минут и забываем. Ну от этого открытого порта проблем не будет, но ситуации разные бывают. Вы что, думаете кто-то полезет крон джоб писать каждый раз для этого?

А тут эта фича ничего не стоит в плане усилий, добавил --timeout и оно само выключится.

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ыы (?), 02-Июл-22, 15:28 
>отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб

Прекрасно. Главное не узнать что пользоваться алиасами вовсе не обязательно (это опция а не требование), и можно указывать именно IP-адреса, сетевые интерфейсы и номера портов.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 15:32 
> Прекрасно. Главное не узнать что пользоваться алиасами вовсе не обязательно (это опция
> а не требование), и можно указывать именно IP-адреса, сетевые интерфейсы и
> номера портов.

у микроскопов тоже есть такая опция как забивать гвозди.


Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск межсетевого экрана firewalld 1.2"  +4 +/
Сообщение от Аноним (36), 02-Июл-22, 17:23 
iptables/nftables и так обновляют правила в ядре без разрыва соединений.
nftables точно загружает новый набор правил транзакционно.
С этой точки зрения ничего, что нельзя сделать при помощи iptables/nftables/ipset, в firewalld нет.

И зоны там дурацкие.
Лучше непосредственно юзать iptables/nftables или на крайняк shorewall.
Вот я давно писал как логично можно организовать правила
http://handmade-linux-firewall.narod.ru/

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от Аноним (36), 02-Июл-22, 18:03 
И, да, firewalld это просто обертка, которая генерит набор правил iptables/nftables из своего формата конфигурации и как именно эти правила организованы и насколько эффективно - это вопрос требующий изучения.

Документация очень слабая

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск межсетевого экрана firewalld 1.2"  –2 +/
Сообщение от An0nim0us (?), 02-Июл-22, 20:15 
Изучал что эта обертка генерит на выходе - ужаснулся и после этого на норм проектах стараюсь не юзать. Что б было понятно вместо 5 строчек которые вы бы написали без нее - это чудо генерит в 20 раз больше и многое из того что получаем просто нах не нужно.
Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от Аноним (67), 03-Июл-22, 19:05 
давай конкретный воспроизводимый пример, трепло
Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от ыы (?), 02-Июл-22, 19:26 
Более того, при попытке сделать конфигурацию отличную от "локалхост хомячка" - тут же оказывается что весь сахар этой обертки - исчезает бесследно, и нужно описывать все как и раньше, построчно, без всяких алиасов, указывая порты, ip, и протоколы...
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

42. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от BrainFucker (ok), 02-Июл-22, 18:17 
> Добавлены сервисы с поддержкой gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly

Э... то есть там для каждого приложения нужна своя поддержка? Ужас какой...

Ответить | Правка | Наверх | Cообщить модератору

98. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (90), 06-Июл-22, 22:30 
Речь просто про более фичастый вариант бывшего /etc/services (который некорректен в плане tcp/udp, смешивает в кучу абстрактные протоколы и конкретные программные реализации, плохо отражает приложения которым нужно более одного порта и тп). Т.е. да, поддерживается список определений, какие порты какое приложение требует. Они в раздельных файлах, поэтому определение может идти в конкретном приложении, а не общем firewalld.
Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (44), 02-Июл-22, 19:25 
Когда сделают фильтр по имени процесса, просящего доступ в сеть? Чтобы я себе мог просто белы список процессов составить.

Столько лет Линуксу, а такой базовой фичи нет для пользователя недоверенных программ. Может я чего не понимаю.

Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ыы (?), 02-Июл-22, 19:27 
Когда доля линукса на десктопе станет больше погрешности измерения - сразу же появится... Наверное :)
Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (49), 02-Июл-22, 19:42 
Иными словами - никогда)
Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от slepnoga (??), 02-Июл-22, 19:44 
>Когда сделают фильтр по имени процесса, просящего доступ в сеть..

сделали, примерно в 2005-м году.И даже как всегда,более чем одним способом.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

52. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от gapsf2 (??), 02-Июл-22, 21:27 
С этим все непросто.
Когда-то можно было фильтровать по pid, но это убрали.
И прям по имени процесса или файла скорее всего никто никогда в ядре уже делать не будет, т.к. с точки зрения ядерщиков, все что можно сделать в юзерспейс не надо тащить в ядро.
Кроме того имя процесса/команды неоднозначно: их может быть несколько.
Для входящих соединений определить процесс, который получит пакет в общем случае затруднительно.
В любом случае придется самому мастерить, сам я таким не занимался.
На данный момент с помощью iptables можно фильтровать по
-m cgroup --path...
По сути это  все, что доступно непосредственно по процессам.

1 Пробовать/смотреть куда системд пихает процесс в cgroups и использовать -m cgroup --path если получится

2 Пробовать по разному использовать network namespaces
https://unix.stackexchange.com/questions/68956/block-network...
Причем в каждом пространстве имен собственные интерфейсы, таблицы маршрутизации и набор правил фаервола.
Наверное это самый перспективный и гибкий вариант.

3 Запускать приложения под другим пользователем и использовать для фильтрации
-m owner...

4 Пробовать selinux, apparmor, ясно что это гемор, хотя...
https://askubuntu.com/questions/679474/how-to-block-internet...
Т.е. apparmor настроить не очень сложно и можно прям по путям в фс огрничения делать.
Тоже неплохой вариант.

5 Пробовать готовые проги, я нашел
https://github.com/evilsocket/opensnitch
https://douaneapp.com/

Эти проги gui и интерактивные, как именно они реализуют этот функционал - над смотреть исходники.

Как видно вариантов много, поэтому ждать реализации этого прямо в ядре+iptables/nftables нет смысла.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

54. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (-), 02-Июл-22, 23:03 
мониторит прок судя по коду. вообще лютое г
Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск межсетевого экрана firewalld 1.2"  –1 +/
Сообщение от john_erohin (?), 03-Июл-22, 07:43 
> фильтр по имени процесса

на винде это уже проходили.
через несколько итерций пришли к подписанным бинарникам или хэшам.
не надо так.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

59. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (59), 03-Июл-22, 09:44 
Вы хотите аналог Windows Filtering Platform?

В Windows много файрволов, но один пласт API для написания собственного файрвола. В Linux, наоборот, один файрвол и куча разных несовместимых API для его настройки.

> Столько лет Линуксу, а такой базовой фичи нет для пользователя недоверенных программ. Может я чего не понимаю.

Да, вы не понимаете объем задачи: https://docs.microsoft.com/en-us/windows/win32/fwp/windows-f...

Даже если брать ту "мизерную" функцию с всплывающими окошками, разрешить процессу то-то и то-то, придётся реализовать RPC. Тут две проблемы:
- ответственность и её перекладывание. Для разработчиков ядра userspace как бы "вне зоны ответственности". Вечная игра в горячую картошку.
- драматизм вокруг RPC. На стороне ядра и в юзерспейсе должно находиться единое RPC, манипулирующее сложными структурами данных. Помните эпопею про kdbus и то как его не приняли (по вполне техническим причинам) дальнейшие попытки переизобрести "нормальное" RPC вроде проекта bus1, не знаю насколько оно живое.
Далее прочитайте этот же тред выше и пронаблюдайте количество болезных истеричек у которых dbus воду в кране выпил и как это "не нужно на сервере". В Linux очень много RPC-подсистем с убогой архитектурой. Одна из них Netlink, которая есть в ядре, но отстаёт от требований юзерспейса. Вот её надо менять для решения целого ряда задач, но там же визгу будет...

D-Bus сам по себе при этом мягко говоря не эталон. Он слишком сложен и перегружен функционалом, потому что это универсальная шина IPC+RPC. Нужен аналог COM+/DCOM, работающий в клиент-серверном режиме без всякого Multicast-а и не зависящий от сетевой подсистемы. Но такого API в ядре нет.

> Чтобы я себе мог просто белы список процессов составить.

В Windows можно не только белый список составить, там можно еще и взять список и настроить так чтобы на определенные процессы траффик не проходил без аутентификации и шифрования ipsec. То есть файрвол пропустит входящий траффик к порту только если есть ipsec и пользователь такой-то и с компьютера такого-то. Но научить линуксоидов ipsec-у для создания демилитаризованных зон... они единственное своё юзерспейсное RPC выпиливают в порыве белой горячки. Всё это малореализуемо.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

61. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Qanon (?), 03-Июл-22, 12:56 
Уже давно сделали, давно юзаю и вам желаю https://github.com/evilsocket/opensnitch
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

64. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от Аноним (63), 03-Июл-22, 14:17 
Давно сделали, но ты не осилил. Называется SELinux.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

72. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (71), 03-Июл-22, 20:32 
> Когда сделают фильтр по имени процесса, просящего доступ в сеть?

Когда ты опишешь надёжный, непротиворечивый и невзламываемый метод определения имени процесса. В любой ОС на выбор.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

73. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ыы (?), 04-Июл-22, 09:25 
Зачем его "определять"? Он известен изначально.

Вы вероятно думаете, что процесс инициируется в момент появления пакета на интерфейсе? Тоесть ничего небыло и вдруг:
Пакет на интерфейсе!!! ААААА!!! Что с ним делать !??!! ...ааааа..паника.. откуда взялся этот пакет !?? ... ааааа [стук головы об радиатор процессора]... что делать??

Такое да? :)

В момент появления пакета на интерфейсе -  за ним уже давно наблюдали, и откуда он взялся хорошо известно. Просто в винде файрвол писали для людей, а в линуксе - для маршрутизатора ...

Как только количество линуха на десктопе превысит погрешность измерения -  ктото озаботится и напишет обертку под механизмы которые в ядре были давным давно и которую гордо назовет НекстГенерейшенЮзерАппликейшенФайрвол...

Ответить | Правка | Наверх | Cообщить модератору

99. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (99), 08-Июл-22, 12:24 
Просто ты не отличаешь L4 файрвол от L7 файрвола.
Ответить | Правка | Наверх | Cообщить модератору

79. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (78), 04-Июл-22, 14:14 
>Может я чего не понимаю.

Башескритования не понимаешь. Можно по PID. А чтобы его получить, есть Bash.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

84. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от BorichL (ok), 04-Июл-22, 15:57 
Вероятно ты вообще слабо понимаешь, что это, зачем это и как всё это работает. Хомячковый фаерволл вобщем то занимает всего несколько строк правил и достаточен для одминов локалхоста и территориально расположен в его роутере.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

88. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ыы (?), 04-Июл-22, 20:34 
это в линухе так. файрвол стоит "гдето там на роутере и имеет пару правил".
А в нормальной адекватной ОС- файрвол стоит на компе юзера, и педантично управляет допуском и блокированием работы с сетью каждого конкретного процесса в системе.
Ответить | Правка | Наверх | Cообщить модератору

89. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от BorichL (ok), 04-Июл-22, 21:07 
> это в линухе так. файрвол стоит "гдето там на роутере и имеет
> пару правил".
> А в нормальной адекватной ОС- файрвол стоит на компе юзера, и педантично
> управляет допуском и блокированием работы с сетью каждого конкретного процесса в
> системе.

Насчёт адекватности такой ОС есть большие сомнения. Ну для мамкиного хакера такая может и пойдёт. А обычному юзеру этот типа фаерволл нахрен не упёрся, юзеру надо, чтобы работало, а не пыталось блокировать то, что он хочет.

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск межсетевого экрана firewalld 1.2"  +1 +/
Сообщение от Аноним (53), 02-Июл-22, 22:22 
Нужен systemd-firewalld
Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск межсетевого экрана firewalld 1.2"  +2 +/
Сообщение от Аноним (-), 02-Июл-22, 23:04 
и systemd-firefox ну и иногда systemd-tuxracerd
Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от microsoft (?), 03-Июл-22, 13:39 
Былоб так круто. Разрешаю, реализовывайте.
Ответить | Правка | Наверх | Cообщить модератору

70. "Выпуск межсетевого экрана firewalld 1.2"  +2 +/
Сообщение от Аноним (67), 03-Июл-22, 19:09 
о, завсегдатаи с шутками за 100. опеннет стабилен
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

57. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (57), 03-Июл-22, 01:11 
И тут они обнаружили фатальный
недостаток...
Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск межсетевого экрана firewalld 1.2"  +3 +/
Сообщение от Аноним (-), 03-Июл-22, 11:35 
> Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt).

Спасибо, не знал, что интерфейсы есть!

Ответить | Правка | Наверх | Cообщить модератору

80. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (78), 04-Июл-22, 14:16 
Какввенде!
Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Annno (?), 03-Июл-22, 16:09 
firewalld - пришло твое время.

p.s. этож все для неосиляторов nftables/iptables

nftables учат походу только ботаны

Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от pfg21 (ok), 04-Июл-22, 12:09 
т.е. если я файл своей кривой поделки проименую ssh то получу все возможности ssh, однако мысль мне нравитца.
Ответить | Правка | Наверх | Cообщить модератору

77. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ыы (?), 04-Июл-22, 13:22 
>т.е. если я файл своей кривой поделки

Да.

>проименую ssh

Ну допустим...

>то получу все возможности ssh,

Схуали?

>однако мысль мне нравитца.

Штирлиц подумал мысль... Ему понравилось и он подумал еще :)

Ответить | Правка | Наверх | Cообщить модератору

82. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от pfg21 (ok), 04-Июл-22, 14:59 
срояли йопт, оно ж того именования сервисов читает, а эта вещчъ гвоздями не прибитая.
Ответить | Правка | Наверх | Cообщить модератору

87. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от ыы (?), 04-Июл-22, 20:31 
> именования сервисов читает

из простого текстового файла, который никакого отношения ни к реальным сервисам, ни к ИМЕНАМ ФАЙЛОВ не имеет.

Ответить | Правка | Наверх | Cообщить модератору

97. "Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от Аноним (97), 06-Июл-22, 11:11 
когда уже появиться mycomputerd ???
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру