Posso essere avvisato di tentativi di connessione bloccati?

9

Il mio computer esegue Ubuntu 10.10 e vorrei sapere se esiste un firewall che mi informa attivamente quando un determinato programma sta tentando di accedere a Internet o quando un tentativo di connessione è bloccato da Internet. Ricordo che ZoneAlarm per Windows ti avvertirà dei tentativi bloccati, ma ora che sono passato a Ubuntu non ne sono così sicuro. Tutto ciò che la mia ricerca mi conduce è gufw.

firewall  notification-area 
OpenCoderX
fonte
Sebbene non sia esattamente uguale all'intercettazione, ma se riesci a vedere con quali connessioni vengono effettuate in tempo reale sudo netstat -tup -W, il -ptflag mostrerà l'app di origine per ogni connessione. Per visualizzare un rapporto di tutte le connessioni storicamente utilizzate ntop: (1) fare sudo apt-get install ntop, avviare il servizio sudo /etc/init.d/ntop starte quindi aprire localhost: 3000 nel browser Web. In Tutti i protocolli > Traffico verrà visualizzato un elenco di tutte le connessioni effettuate. Sfortunatamente ntop non mostrerà quale app ha avviato le connessioni ..
ccpizza il

Risposte:

2

Per quanto ne so, la risposta a entrambe le domande è purtroppo "no".

Dettagli (ma ho intenzione di semplificare qui comunque):

firewall che mi informa attivamente quando un determinato programma sta tentando di accedere a Internet

  • Il filtro di rete del kernel utilizzato dai firewall non funziona bene a livello di applicazione, quindi non viene utilizzato a tale scopo. Sebbene sia generalmente possibile filtrare le connessioni in uscita (per tutti i programmi), è difficile da fare, poiché non è possibile bloccare le connessioni alla porta 80 (usata per http - qui usata solo come esempio), il che significa che un'applicazione non autorizzata può facilmente usare quella porta per effettuare connessioni.
  • Anche se ciò fosse possibile, sarebbe piuttosto difficile da implementare, poiché le connessioni sono consentite o bloccate (e non "intercettate" o "in pausa" come ad esempio ZoneAlarm) in modo da non avere la possibilità di consentire o vietare attivamente la richiesta al volo.
  • Un'opzione a livello di applicazione sarebbe AppArmor(puoi limitare la connessione a Internet tra le altre cose lì), ma non è molto adatta ai principianti e granulare.

informa attivamente quando un tentativo di connessione viene bloccato da Internet

  • Lo fa se lo si configura in questo modo, ad esempio ufwper impostazione predefinita nei registri /var/log/kern.log. La notifica tramite notifiche di sistema è certamente possibile anche se non conosco nessuno di questi programmi (perché AppArmorlo è apparmor-notify).
organizzare
fonte
Questa sembra una spiegazione ragionevole. Per coloro che vogliono usare apparmor-notification: installalo tramite apt, in /etc/apparmor/notify.conf cambia il gruppo utenti in 'adm' e aggiungi 'aa-notification -p' alle tue applicazioni di avvio. È quindi possibile testarlo attivando un evento AppArmor negato con 'sudo tcpdump -i eth0 -n -s 0 -w / foo'
peterrus,
2

Dal tuo centro software esiste un'applicazione chiamata fwanalog. Afferma che analizzerà gli eventi registrati da un firewall basato su iptables configurato come un gufw.

Scriverà registri html che puoi sfogliare (/ var / log / fwanalog) - i risultati vengono visualizzati sia come statistiche di testo che come grafici a torta, ecc.

Non risponde ai rapporti "attivi" della tua domanda, ma ti consentirà di esaminare le statistiche giornaliere / settimanali / mensili dei vari eventi di connessione e blocco attivo.

Nota: se si è dietro un router, probabilmente si riceveranno pochissimi report poiché la maggior parte dei router blocca attivamente i tentativi di connessione.

libertà fossile
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.