The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск межсетевого экрана firewalld 1.2

02.07.2022 11:52

Опубликован релиз динамически управляемого межсетевого экрана firewalld 1.2, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2.

Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh"). Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt). Поддержка управления межсетевым экраном через D-BUS API firewalld имеется в таких проектах, как NetworkManager, libvirt, podman, docker и fail2ban.

Основные изменения:

  • Реализованы сервисы snmptls и snmptls-trap для обработки доступа к протоколу SNMP через защищённый канал связи.
  • Реализован сервис с поддержкой протокола, используемого в децентрализованной файловой системе IPFS.
  • Добавлены сервисы с поддержкой gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly, а также защищённой версии k8s controller-plane.
  • Добавлен параметр "--log-target".
  • Добавлен режим запуска failsafe, позволяющий в случае проблем с заданными правилами, откатиться на конфигурацию по умолчанию, не оставляя хост без защиты.
  • Для bash обеспечена поддержка автодополнения команд для работы с правилами.


  1. Главная ссылка к новости (https://firewalld.org/2022/07/...)
  2. OpenNews: Выпуск firewalld 1.0
  3. OpenNews: В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux
  4. OpenNews: Релиз дистрибутива для создания межсетевых экранов IPFire 2.27
  5. OpenNews: Выпуск дистрибутива для создания межсетевых экранов OPNsense 22.1
  6. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.6.0
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/57441-firewalld
Ключевые слова: firewalld
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (90) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Alladin (?), 11:58, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Чем это лучше ufw и удобного gufw?
     
     
  • 2.18, псевдоеимус (?), 14:22, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    они обертки. а он уровнем ниже и г-о.
     
  • 2.34, Anonim (??), 15:44, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Он лучше буквально во всём. Попробуй и сам поймёшь. Разработчикам респект и уважение.
     
  • 2.56, Аноним (56), 23:27, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Чем это лучше ...

    Ничем. Как видишь суффикс *d - выпиливай под корень.

     
     
  • 3.63, Аноним (63), 14:12, 03/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Начни с ntpd.
     
     
  • 4.85, Минона (ok), 15:59, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В centos он выпилен в пользу chrony
     
     
  • 5.90, Аноним (90), 10:18, 05/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так chronyd же... Придется выпиливать (

       1691 ?        S      0:00 /usr/sbin/chronyd -F 2

     
  • 3.91, Аноним (90), 10:20, 05/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну httpd заменим на nginx. atd, crond - выкинуть заменив systemd-timers. smbd - нефиг виндузятникам потакать, пусть ставят нормальные ОС, выкинем.

    А что брать вместо rsyslogd? Вместо smartd? Вместо sshd, наконец?

     

  • 1.2, Аноним (2), 11:59, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    iptables и так надстройка над netfilter зачем дополнительная надстройка над надстройкой?
     
     
  • 2.7, DeerFriend (?), 12:17, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Когда иптаблесы заменяют на нфтаблесы, не все успевают или горят желанием погружаться в изменения.
     
     
  • 3.12, Аноним (2), 13:27, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    так при смене бинарнечек и делает все поправки (что то типа iptables-old) пихаешь ему старый синтаксис он плюнет новый уже под нфтейбл

    опять вопрос - зачем надстройка?

     
     
  • 4.19, псевдоеимус (?), 14:23, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    чтобы было непонятно, как обрабатывается пакет. магия, ололо!
     
  • 2.11, anonymouse (?), 13:25, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не надстройка, а пользовательский интерфейс для управления. Желаю удачи юзать netfilter без "надстроек".
     
     
  • 3.13, Аноним (2), 13:27, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    пасибо уже юзаю без надстроек, чего и всем желаю
     

  • 1.3, Олежа (?), 12:02, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ждём в Debian!
     
     
  • 2.14, Аноним (14), 13:38, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не жди, просто поставь из репозиториев.
    Не знаю, как в Debian, но в Ubuntu 20.04 он ставится одной командой... (Версия 0.82)
     

  • 1.4, Sw00p aka Jerom (?), 12:02, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб

    прям ngfw какой-то

     
     
  • 2.23, QwertyReg (ok), 14:40, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И в каком месте?
     
     
  • 3.24, Sw00p aka Jerom (?), 14:51, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > И в каком месте?

    в том, что "при создании правил отталкивается" от сервисов (аппликейшенов) именно ngfw разобрав сам протокол. Отсюда и весь абсурд, казаться тем чем не являешься.

     
     
  • 4.29, ыы (?), 15:24, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > разобрав сам протокол.

    Разве данная программа разбирает какието протоколы? Она отталкивается от алиасов для некоторых чисел.
    Каким образом навешивание алиаса на номер порта "разбирает протокол" - загадка :)

     
     
  • 5.31, Sw00p aka Jerom (?), 15:30, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Разве данная программа разбирает какието протоколы? Она отталкивается от алиасов для некоторых
    > чисел.

    вот и написал "прям ngfw какой-то", то есть -  не разбирает протоколы, но оперирует понятием сервисов (аппликейшенов)

    > Каким образом навешивание алиаса на номер порта "разбирает протокол" - загадка :)

    ну как минимум "разбирает протокол" уровней L3/L4


     

  • 1.5, Аноним (5), 12:05, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Релиз обёртки над фаерволлами. Называйте вещи своими именами.
     
     
  • 2.48, Ку (?), 19:36, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что не является оберткой и как этим управлять?
     
     
  • 3.81, pfg21 (ok), 14:56, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ну дык истинный бог. который онные атомы для оберток и наштамповал.  
    управлять, расти тебе дитятко до ентого... еще долго и трудно...
     

  • 1.9, Аноним (9), 13:16, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    И насколько роняет производительность эта безопасность. В ядре безопасности роняющее производительность, в интерфейсах.
    Плотиш тыщи лиш бы не логало - современный мир.
     
  • 1.15, ixpert (?), 13:56, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Динамически изменять правила пакетного фильтра через D-Bus - это так важно для сервера потому что там ничего не меняется после установки, и этот фоновый процесс обязательно нужен вам. Мне нет, сразу удаляю.
     
     
  • 2.22, Аноним (63), 14:32, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме твоего локалхоста существует ещё столько всего — целый мир! Подрастешь, пойдешь работать и сам увидишь.
     
     
  • 3.27, ixpert (?), 15:16, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ваша убогая шутка про localhost настолько в тему, что это убожество только и запускать на localhostе из за кучи гуевых программок которым вдруг понадобился входящий трафик.
     
     
  • 4.67, Аноним (67), 18:59, 03/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    здесь это самая уместная шутка, ведь уровень комментаторов ей полностью соответствует
     
  • 3.38, Aninim (?), 17:44, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    вообще все настройки делаютя на фаерволах инфраструктуры (циски жуниперы брокейды ил  хуавеи - кому что нравится/купили) а не на серверах
    да и с кубом он сам всем управляет сетью без шаловливых ручек одмина
     
     
  • 4.71, Аноним (71), 20:29, 03/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А вот и мамкины ибэшники подъехали, у которых внутри домашнего ланчика фаерволлы не нужны.
     
     
  • 5.75, 1 (??), 11:39, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    *V*ланчика
     
  • 3.74, bOOster (ok), 11:29, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это точно, поголовно лезут в IT даже те кто ничерта в этом не понимает и в целом не хотят понимать. В результат выплывают вот такие вот поделки. Облегчить жизнь лохам и осложняющую серверную платформу в принципе.
     

  • 1.16, ананоша (?), 14:14, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если ссх не на 22 порту, оно сработает?
     
     
  • 2.25, Sw00p aka Jerom (?), 14:57, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если ссх не на 22 порту, оно сработает?

    конечно, откроет вам тупо 22 порт, тут список /usr/lib/firewalld/services/

    <?xml version="1.0" encoding="utf-8"?>
    <service>
      <short>SSH</short>
      <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
      <port protocol="tcp" port="22"/>
    </service>


     
     
  • 3.26, ыы (?), 15:13, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а выражения в элементах поддерживает?
    что-то вроде
    <port protocol="(select proto from tcp://myhost/proto)" port="http://myssite/queryfirewaldd"/>
    ?
     
     
  • 4.32, Sw00p aka Jerom (?), 15:31, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > а выражения в элементах поддерживает?
    > что-то вроде
    > <port protocol="(select proto from tcp://myhost/proto)" port="http://myssite/queryfirewaldd"/>

    должен если ngwf


     
  • 3.92, Аноним (90), 10:22, 05/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так для этого поддерживается добавление своего сервиса sshd-my-cool-port...
     

  • 1.17, псевдоеимус (?), 14:14, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    мало того, что убогое, так еще завязано на дбус.

    и после этого линуксоиды смеются над 3 пакетными фильтрами в бзде.

     
     
  • 2.39, Anonimussh (?), 17:48, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    я кайфую от PF особено его таблички искаропки, и не надо, что то типа ipset городить
     
  • 2.68, Аноним (67), 19:00, 03/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > мало того, что убогое,

    твою биографию тут все уже наизусть знают

     
  • 2.78, Аноним (78), 14:07, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В БЗДе нет Дбус?
     
     
  • 3.83, BorichL (ok), 15:52, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В базовой системе конечно нет, нахрена там этот дерибас? Уязвимости собирать? Если тебе надо dbus - ставишь из портов, а так ну нахрен он например в FAMP'е?
     
  • 3.96, псевдоеимус (?), 19:27, 05/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    штатно конечно нет. омнопроги тянут по зависимостям.
     

  • 1.21, Брандмауэр без Root (?), 14:30, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://play.google.com/store/apps/details?id=app.greyshirts.firewall
    такое надо.
     
  • 1.28, ыы (?), 15:21, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это же классно! Можно описать сервисы своими именами потом выдавать команды
    "firewall-cmd --add --service=ПолетШмеляНадГранатом"
     
     
  • 2.40, нига (?), 17:49, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    залетаешь такой и начинает исслудование и раскопки что и где накручено наверчено
     
     
  • 3.43, ыы (?), 19:22, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    так для того же и сделано. разве нет?
     
  • 2.93, Аноним (90), 10:24, 05/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это фигня. Куда важнее фича что можно открыть порт на минуту или на 10 минут, типа нужно что-то проверить или эксперимент произвести, а потом не забывать закрыть. Вот firewalld сам закроет ка было через заданное время.

    Очень полезная фича при поиске неясных проблем.

     
     
  • 3.94, gapsf2 (ok), 11:26, 05/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот наивные - думают, что это некий эксклюзив firewalld и что только благодаря firewalld такое возможно.
    Это не так.
    Реализовано это (может быть) с помощью возможностей ipset: при добавлении в список можно указать таймаут, по истечении которого элемент будет удален из списка *автоматически* (т.е. ядром).
    Ну и очевидно, примитивно манипуляцией правилами iptables/nftabels через cron.
     
     
  • 4.95, Аноним (90), 12:36, 05/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Брр. Почему *только*?

    Это очевидно делается руками или через крон. Просто firewalld делает это автоматически, убирая риски забывчивости. Типа "вот мне порт открыть на минуту, погонять iperf" а потом гоняем 5 минут и забываем. Ну от этого открытого порта проблем не будет, но ситуации разные бывают. Вы что, думаете кто-то полезет крон джоб писать каждый раз для этого?

    А тут эта фича ничего не стоит в плане усилий, добавил --timeout и оно само выключится.

     

  • 1.30, ыы (?), 15:28, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб

    Прекрасно. Главное не узнать что пользоваться алиасами вовсе не обязательно (это опция а не требование), и можно указывать именно IP-адреса, сетевые интерфейсы и номера портов.

     
     
  • 2.33, Sw00p aka Jerom (?), 15:32, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Прекрасно. Главное не узнать что пользоваться алиасами вовсе не обязательно (это опция
    > а не требование), и можно указывать именно IP-адреса, сетевые интерфейсы и
    > номера портов.

    у микроскопов тоже есть такая опция как забивать гвозди.


     

  • 1.36, Аноним (36), 17:23, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    iptables/nftables и так обновляют правила в ядре без разрыва соединений.
    nftables точно загружает новый набор правил транзакционно.
    С этой точки зрения ничего, что нельзя сделать при помощи iptables/nftables/ipset, в firewalld нет.

    И зоны там дурацкие.
    Лучше непосредственно юзать iptables/nftables или на крайняк shorewall.
    Вот я давно писал как логично можно организовать правила
    http://handmade-linux-firewall.narod.ru/

     
     
  • 2.41, Аноним (36), 18:03, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И, да, firewalld это просто обертка, которая генерит набор правил iptables/nftables из своего формата конфигурации и как именно эти правила организованы и насколько эффективно - это вопрос требующий изучения.

    Документация очень слабая

     
     
  • 3.51, An0nim0us (?), 20:15, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Изучал что эта обертка генерит на выходе - ужаснулся и после этого на норм проектах стараюсь не юзать. Что б было понятно вместо 5 строчек которые вы бы написали без нее - это чудо генерит в 20 раз больше и многое из того что получаем просто нах не нужно.
     
     
  • 4.69, Аноним (67), 19:05, 03/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    давай конкретный воспроизводимый пример, трепло
     
  • 2.45, ыы (?), 19:26, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Более того, при попытке сделать конфигурацию отличную от "локалхост хомячка" - тут же оказывается что весь сахар этой обертки - исчезает бесследно, и нужно описывать все как и раньше, построчно, без всяких алиасов, указывая порты, ip, и протоколы...
     

  • 1.42, BrainFucker (ok), 18:17, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Добавлены сервисы с поддержкой gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly

    Э... то есть там для каждого приложения нужна своя поддержка? Ужас какой...

     
     
  • 2.98, Аноним (90), 22:30, 06/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Речь просто про более фичастый вариант бывшего /etc/services (который некорректен в плане tcp/udp, смешивает в кучу абстрактные протоколы и конкретные программные реализации, плохо отражает приложения которым нужно более одного порта и тп). Т.е. да, поддерживается список определений, какие порты какое приложение требует. Они в раздельных файлах, поэтому определение может идти в конкретном приложении, а не общем firewalld.
     

  • 1.44, Аноним (44), 19:25, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда сделают фильтр по имени процесса, просящего доступ в сеть? Чтобы я себе мог просто белы список процессов составить.

    Столько лет Линуксу, а такой базовой фичи нет для пользователя недоверенных программ. Может я чего не понимаю.

     
     
  • 2.46, ыы (?), 19:27, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Когда доля линукса на десктопе станет больше погрешности измерения - сразу же появится... Наверное :)
     
     
  • 3.49, Аноним (49), 19:42, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Иными словами - никогда)
     
  • 2.50, slepnoga (??), 19:44, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Когда сделают фильтр по имени процесса, просящего доступ в сеть..

    сделали, примерно в 2005-м году.И даже как всегда,более чем одним способом.

     
  • 2.52, gapsf2 (??), 21:27, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    С этим все непросто.
    Когда-то можно было фильтровать по pid, но это убрали.
    И прям по имени процесса или файла скорее всего никто никогда в ядре уже делать не будет, т.к. с точки зрения ядерщиков, все что можно сделать в юзерспейс не надо тащить в ядро.
    Кроме того имя процесса/команды неоднозначно: их может быть несколько.
    Для входящих соединений определить процесс, который получит пакет в общем случае затруднительно.
    В любом случае придется самому мастерить, сам я таким не занимался.
    На данный момент с помощью iptables можно фильтровать по
    -m cgroup --path...
    По сути это  все, что доступно непосредственно по процессам.

    1 Пробовать/смотреть куда системд пихает процесс в cgroups и использовать -m cgroup --path если получится

    2 Пробовать по разному использовать network namespaces
    https://unix.stackexchange.com/questions/68956/block-network-access-of-a-proce
    Причем в каждом пространстве имен собственные интерфейсы, таблицы маршрутизации и набор правил фаервола.
    Наверное это самый перспективный и гибкий вариант.

    3 Запускать приложения под другим пользователем и использовать для фильтрации
    -m owner...

    4 Пробовать selinux, apparmor, ясно что это гемор, хотя...
    https://askubuntu.com/questions/679474/how-to-block-internet-access-for-an-app
    Т.е. apparmor настроить не очень сложно и можно прям по путям в фс огрничения делать.
    Тоже неплохой вариант.

    5 Пробовать готовые проги, я нашел
    https://github.com/evilsocket/opensnitch
    https://douaneapp.com/

    Эти проги gui и интерактивные, как именно они реализуют этот функционал - над смотреть исходники.

    Как видно вариантов много, поэтому ждать реализации этого прямо в ядре+iptables/nftables нет смысла.

     
     
  • 3.54, Аноним (-), 23:03, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    мониторит прок судя по коду. вообще лютое г
     
  • 2.58, john_erohin (?), 07:43, 03/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > фильтр по имени процесса

    на винде это уже проходили.
    через несколько итерций пришли к подписанным бинарникам или хэшам.
    не надо так.

     
  • 2.59, Аноним (59), 09:44, 03/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы хотите аналог Windows Filtering Platform В Windows много файрволов, но один ... большой текст свёрнут, показать
     
  • 2.61, Qanon (?), 12:56, 03/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Уже давно сделали, давно юзаю и вам желаю https://github.com/evilsocket/opensnitch
     
  • 2.64, Аноним (63), 14:17, 03/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Давно сделали, но ты не осилил. Называется SELinux.
     
  • 2.72, Аноним (71), 20:32, 03/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Когда сделают фильтр по имени процесса, просящего доступ в сеть?

    Когда ты опишешь надёжный, непротиворечивый и невзламываемый метод определения имени процесса. В любой ОС на выбор.

     
     
  • 3.73, ыы (?), 09:25, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем его "определять"? Он известен изначально.

    Вы вероятно думаете, что процесс инициируется в момент появления пакета на интерфейсе? Тоесть ничего небыло и вдруг:
    Пакет на интерфейсе!!! ААААА!!! Что с ним делать !??!! ...ааааа..паника.. откуда взялся этот пакет !?? ... ааааа [стук головы об радиатор процессора]... что делать??

    Такое да? :)

    В момент появления пакета на интерфейсе -  за ним уже давно наблюдали, и откуда он взялся хорошо известно. Просто в винде файрвол писали для людей, а в линуксе - для маршрутизатора ...

    Как только количество линуха на десктопе превысит погрешность измерения -  ктото озаботится и напишет обертку под механизмы которые в ядре были давным давно и которую гордо назовет НекстГенерейшенЮзерАппликейшенФайрвол...

     
     
  • 4.99, Аноним (99), 12:24, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Просто ты не отличаешь L4 файрвол от L7 файрвола.
     
  • 2.79, Аноним (78), 14:14, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Может я чего не понимаю.

    Башескритования не понимаешь. Можно по PID. А чтобы его получить, есть Bash.

     
  • 2.84, BorichL (ok), 15:57, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вероятно ты вообще слабо понимаешь, что это, зачем это и как всё это работает. Хомячковый фаерволл вобщем то занимает всего несколько строк правил и достаточен для одминов локалхоста и территориально расположен в его роутере.
     
     
  • 3.88, ыы (?), 20:34, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    это в линухе так. файрвол стоит "гдето там на роутере и имеет пару правил".
    А в нормальной адекватной ОС- файрвол стоит на компе юзера, и педантично управляет допуском и блокированием работы с сетью каждого конкретного процесса в системе.
     
     
  • 4.89, BorichL (ok), 21:07, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > это в линухе так. файрвол стоит "гдето там на роутере и имеет
    > пару правил".
    > А в нормальной адекватной ОС- файрвол стоит на компе юзера, и педантично
    > управляет допуском и блокированием работы с сетью каждого конкретного процесса в
    > системе.

    Насчёт адекватности такой ОС есть большие сомнения. Ну для мамкиного хакера такая может и пойдёт. А обычному юзеру этот типа фаерволл нахрен не упёрся, юзеру надо, чтобы работало, а не пыталось блокировать то, что он хочет.

     

  • 1.53, Аноним (53), 22:22, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Нужен systemd-firewalld
     
     
  • 2.55, Аноним (-), 23:04, 02/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    и systemd-firefox ну и иногда systemd-tuxracerd
     
     
  • 3.62, microsoft (?), 13:39, 03/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Былоб так круто. Разрешаю, реализовывайте.
     
  • 2.70, Аноним (67), 19:09, 03/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    о, завсегдатаи с шутками за 100. опеннет стабилен
     

  • 1.57, Аноним (57), 01:11, 03/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И тут они обнаружили фатальный
    недостаток...
     
  • 1.60, Аноним (-), 11:35, 03/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt).

    Спасибо, не знал, что интерфейсы есть!

     
     
  • 2.80, Аноним (78), 14:16, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Какввенде!
     

  • 1.65, Annno (?), 16:09, 03/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    firewalld - пришло твое время.

    p.s. этож все для неосиляторов nftables/iptables

    nftables учат походу только ботаны

     
  • 1.76, pfg21 (ok), 12:09, 04/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    т.е. если я файл своей кривой поделки проименую ssh то получу все возможности ssh, однако мысль мне нравитца.
     
     
  • 2.77, ыы (?), 13:22, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >т.е. если я файл своей кривой поделки

    Да.

    >проименую ssh

    Ну допустим...

    >то получу все возможности ssh,

    Схуали?

    >однако мысль мне нравитца.

    Штирлиц подумал мысль... Ему понравилось и он подумал еще :)

     
     
  • 3.82, pfg21 (ok), 14:59, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    срояли йопт, оно ж того именования сервисов читает, а эта вещчъ гвоздями не прибитая.
     
     
  • 4.87, ыы (?), 20:31, 04/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > именования сервисов читает

    из простого текстового файла, который никакого отношения ни к реальным сервисам, ни к ИМЕНАМ ФАЙЛОВ не имеет.

     

  • 1.97, Аноним (97), 11:11, 06/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    когда уже появиться mycomputerd ???
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру