Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » UNIX » firewall

Модерирует : ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

Nep



Moderator
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
прекратили взаимные наезды быстро!

Всего записей: 41940 | Зарегистр. 24-06-2001 | Отправлено: 13:31 17-03-2007
ZaqwrKos

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DarkAir

Цитата:
Тем более не gid не sid не действуют на входящие  
соединения.

реализуйте под freebsd

Всего записей: 611 | Зарегистр. 26-02-2007 | Отправлено: 14:42 17-03-2007
lopen3



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мда, тема заглохла На мой взгляд, DarkAir неточно сформулировал задачу:
1) в этом топике мы рассматриваем не сервер, а исключительно desktop.
2) защита от руткитов и т.п. действительно решается с помощью iptables и в этом топике не должна рассматриваться
3) проблема состоит в появлении ПО с закрытым кодом, содержащего шпионские модули, рекламные вставки, и т.п.
 
Т.о., если исключить совет отказаться от подобного ПО совсем (патчевание ввиду нарушения лицензии тоже исключим), возникает проблема ограничить некоторые приложения, запускаемые интерактивно разными пользователями, в доступе к интернету. Чистыми iptables это не решается. У кого-нибудь есть конструктивные мысли?

Всего записей: 166 | Зарегистр. 17-11-2004 | Отправлено: 11:12 14-01-2008
taelas

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lopen3
http://l7-filter.sourceforge.net/

Цитата:
L7-filter is a classifier for Linux's Netfilter that identifies packets based on application layer data. It can classify packets as Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000, etc., regardless of port. It complements existing classifiers that match on IP address, port numbers and so on.
 

ну а для контроля http, наверное стоит использовать прокси?

Всего записей: 158 | Зарегистр. 24-01-2006 | Отправлено: 11:29 15-01-2008
ZaqwrKos

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lopen3
тогда только самому писать на сишнике =)  какое нить подобие ната, который будет, сопоставлять как пример что за приложения и кому можно пускать в инет ... штатными средствами врятли....

Всего записей: 611 | Зарегистр. 26-02-2007 | Отправлено: 00:21 16-01-2008
TeeHa1F



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот блин =), а я то думал.... всё предусмотренно =)
Просто токо начинаю юзать Linux, уж простите за секунду гуру не становятся....

Всего записей: 414 | Зарегистр. 09-01-2006 | Отправлено: 05:48 16-01-2008
HighwayStar



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lopen3

Цитата:
3) проблема состоит в появлении ПО с закрытым кодом, содержащего шпионские модули, рекламные вставки, и т.п
Во- первых закрытое ПО со шпионскими модулями и рекламными вставками не нужно.
Выявить его можно без труда при помощи AppArmor-инструмента который позволяет отследить что делает программа не только в сети но и на локальном компьютере (чтение и запись фалов, каталогов).

Цитата:
 если исключить совет отказаться от подобного ПО совсем (патчевание ввиду нарушения лицензии тоже исключим), возникает проблема ограничить некоторые приложения,

AppArmor. Для приложения просто прописываются правила, что ему делать можно и все. Это гораздо круче вендофайрволлов.  Тем самым можно защититься от опасного закрытого ПО и потенциальных ошибок в открытом ПО.
 
AppArmor испкаропки есть в openSUSE и Ubuntu. В openSUSE еще есть и очень удобные инструменты для его настройки в виде модулей Yast.
 
Добавлено:
Вообще ИМХО это паранойя, подцепить руткит довольно сложно, даже практически невозможно если выполнять элементарные правила: ставить софт из репозитариев и не ставить ничего с рапиды и китайских варезников.
 
ЗЫ Доки по AppArmor

Всего записей: 1048 | Зарегистр. 16-04-2005 | Отправлено: 09:12 16-01-2008
lopen3



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HighwayStar

Цитата:
Во- первых закрытое ПО со шпионскими модулями и рекламными вставками не нужно.  

Если бы для всего существовал бесплатный Opensource аналог - я бы с этим не спорил, более того, я сам предпочитаю открытый код. А так - бесполезный спор.
 У меня есть одна купленная мной программа которая проверяет по UDP, что не запущен ли где еще один экземпляр, а также анонсирует по UDP свой запуск. Я не хочу чтобы хоть кто-нибудь в сетке знал о том, что у меня есть такой софт, а производитель, так как я частное лицо и не закупаю их софт на мегабаксы - не реагирует. Также стоит VoIP софтфон, т.е. перекрыть диапазон UDP - нельзя. Все более частая картина, по мере распространения коммерческого софта, не так ли?  
 
Еще раз повторюсь - я данную ветку рассматриваю исключительно не как средство защиты от руткитов, а как исключительно домашний вариант, где мощные интеллектуальные прокси и анализаторы траффика на выделенном железе исключены!
 
P.S. Ушел читать доки по AppArmor

Всего записей: 166 | Зарегистр. 17-11-2004 | Отправлено: 10:24 16-01-2008 | Исправлено: lopen3, 10:25 16-01-2008
IrWert

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как вариант - запретить все и всем, проги запускать скриптами, которые по pid-у будут рулить правилами iptables, костыли, конечно, но, думаю, реализуемо...

Всего записей: 11 | Зарегистр. 15-12-2004 | Отправлено: 23:13 30-01-2008
DarkAir

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Так и не произошло никаких позитивных изменений в этом направлении для Linux за всё это время, а жаль.
http://askubuntu.com/questions/45072/how-to-control-internet-access-for-each-program

Всего записей: 140 | Зарегистр. 18-02-2005 | Отправлено: 15:13 21-07-2013
ASE_DAG



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DarkAir
А каких позитивных изменений вы ожидаете?

----------
Dmitry Alexandrov <321942@gmail.com> [PGP] [BTC]

Всего записей: 9272 | Зарегистр. 12-05-2005 | Отправлено: 16:18 26-07-2013
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Операционные системы » UNIX » firewall


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru