Czy mogę otrzymywać powiadomienia o próbach zablokowania połączenia?

9

Na moim komputerze działa Ubuntu 10.10 i chciałbym wiedzieć, czy istnieje zapora ogniowa, która aktywnie informuje mnie, gdy określony program próbuje uzyskać dostęp do Internetu lub gdy próba połączenia jest zablokowana z Internetu. Pamiętam, że ZoneAlarm dla Windows powiadomi cię o zablokowanych próbach, ale teraz, kiedy przełączyłem się na Ubuntu, nie jestem tego taki pewien. Wszystkie moje poszukiwania prowadzą mnie do GUFW.

OpenCoderX
źródło
Chociaż nie jest to dokładnie taka sama jak przechwytywanie, ale jeśli można zobaczyć, jakie połączenia są wykonywane w czasie rzeczywistym sudo netstat -tup -W- w -ptflaga pokaże aplikację pochodzenia dla każdego połączenia. Aby zobaczyć raport o wszystkich historycznych połączeniach, użyj ntop: (1) wykonaj sudo apt-get install ntop, uruchom usługę za pomocą sudo /etc/init.d/ntop start, a następnie otwórz localhost: 3000 w przeglądarce internetowej. W obszarze Wszystkie protokoły > Ruch zobaczysz listę wszystkich nawiązywanych połączeń. Niestety ntop nie wyświetli, która aplikacja zainicjowała połączenia.
ccpizza

Odpowiedzi:

2

O ile wiem odpowiedź na oba pytania brzmi „nie”.

Szczegóły (ale i tak uproszę tutaj):

zapora ogniowa, która aktywnie informuje mnie, gdy jakiś program próbuje uzyskać dostęp do Internetu

  • Filtr sieciowy jądra używany przez zapory ogniowe nie działa dobrze na poziomie aplikacji, więc nie jest używany do tego celu. Chociaż na ogół możliwe jest filtrowanie połączeń wychodzących (dla wszystkich programów), jest to trudne, ponieważ nie można blokować połączeń z portem 80 (używanym dla http - tylko tutaj jako przykładu), co oznacza, że ​​nieuczciwa aplikacja może łatwo używać tego portu do nawiązywania połączeń.
  • Nawet gdyby było to możliwe, byłoby to dość trudne do wdrożenia, ponieważ połączenia są dozwolone lub blokowane (a nie „przechwytywane” lub „wstrzymywane” jak np. W ZoneAlarm), więc nie masz szansy na aktywne zezwolenie lub ban żądanie w locie.
  • Jedną opcją na poziomie aplikacji byłoby AppArmor(możesz ograniczyć między innymi łączenie się z Internetem), ale nie jest to zbyt przyjazne dla początkujących i szczegółowe.

aktywnie informuje, kiedy próba połączenia jest zablokowana z Internetu

  • Dzieje się tak, jeśli tak skonfigurujesz - na przykład ufwdomyślnie loguje się do /var/log/kern.log. Powiadomienie za pośrednictwem powiadomień systemowych jest z pewnością możliwe, chociaż nie znam żadnego takiego programu (bo AppArmortak jest apparmor-notify).
zorganizować
źródło
To wydaje się rozsądnym wyjaśnieniem. Dla tych, którzy chcą używać apparmor-powiadom: zainstaluj go przez apt, w /etc/apparmor/notify.conf zmień grupę użytkowników na „adm” i dodaj „aa-powiadomienie -p” do aplikacji startowych. Następnie można to przetestować, uruchamiając zdarzenie AppArmor Denied za pomocą polecenia „sudo tcpdump -i eth0 -n -s 0 -w / foo”
peterrus
2

Z twojego centrum oprogramowania jest aplikacja o nazwie fwanalog. Twierdzi, że będzie analizował zarejestrowane zdarzenia ze skonfigurowanej zapory sieciowej opartej na iptables, takiej jak gufw.

Będzie pisać dzienniki HTML, które możesz przeglądać (/ var / log / fwanalog) - wyniki są wyświetlane zarówno jako statystyki tekstowe, jak i wykresy kołowe itp.

Nie odpowiada na „aktywne” raporty części twojego pytania - ale pozwoli ci spojrzeć na dzienne / tygodniowe / miesięczne statystyki różnych połączeń i aktywnych zdarzeń blokujących.

Uwaga - jeśli jesteś za routerem, prawdopodobnie otrzymasz bardzo niewiele raportów, ponieważ większość routerów aktywnie blokuje próby połączenia.

fossfreedom
źródło