Могу ли я получать уведомления о заблокированных попытках подключения?

9

Мой компьютер работает под управлением Ubuntu 10.10, и я хотел бы знать, существует ли брандмауэр, который активно информирует меня, когда определенная программа пытается получить доступ к Интернету или когда попытка подключения заблокирована из Интернета. Я помню, что ZoneAlarm для Windows предупредит вас о заблокированных попытках, но теперь, когда я перешел на Ubuntu, я не уверен. Все мои поиски приводят меня к gufw.

firewall notification-area OpenCoderX
источник
Хотя это не совсем то же самое, что перехват, но если вы можете видеть, какие соединения выполняются в режиме реального времени sudo netstat -tup -W- -ptфлаг покажет исходное приложение для каждого соединения. Чтобы увидеть отчет обо всех использовавшихся исторически соединениях ntop: (1) сделайте sudo apt-get install ntop, запустите службу с помощью sudo /etc/init.d/ntop start, а затем откройте localhost: 3000 в вашем веб-браузере. В разделе Все протоколы > Трафик вы увидите список всех подключений. К сожалению, ntop не отображает, какое приложение инициировало соединения ..
ccpizza

Ответы:

2

Насколько я знаю, ответ на оба вопроса, к сожалению, "нет".

Подробности (но я все равно буду упрощать здесь):

брандмауэр, который активно информирует меня, когда определенная программа пытается получить доступ к Интернету

  • Сетевой фильтр ядра, который используют брандмауэры, плохо работает на уровне приложений, поэтому он не используется для этой цели. Хотя обычно можно фильтровать исходящие соединения (для всех программ), это трудно сделать, так как вы не можете заблокировать соединения с портом 80 (используется для http - только здесь используется в качестве примера), что означает, что мошенническое приложение может легко использовать этот порт для подключения.
  • Даже если бы это было возможно, это было бы довольно сложно реализовать, поскольку соединения либо разрешены, либо заблокированы (а не «перехвачены» или «приостановлены», как, например, с ZoneAlarm), поэтому у вас нет возможности активно разрешить или запретить запрос на лету.
  • Одним из вариантов на уровне приложения будет AppArmor(вы можете ограничить подключение к Интернету там, между прочим), но это не очень удобно для начинающих и детально.

активно информирует, когда попытка подключения заблокирована из интернета

  • Это происходит, если вы настраиваете это так - например, ufwпо умолчанию регистрируется в /var/log/kern.log. Уведомление через системные уведомления, безусловно, возможно, хотя я не знаю ни одной такой программы (потому AppArmorчто это так apparmor-notify).
организовать
источник
Это кажется разумным объяснением. Для тех, кто хочет использовать apparmor-notify: установите его через apt, в /etc/apparmor/notify.conf измените группу пользователей на 'adm' и добавьте 'aa-notify -p' в свои автозагрузочные приложения. Затем вы можете проверить его, вызвав событие AppArmor Denied с помощью команды «sudo tcpdump -i eth0 -n -s 0 -w / foo»
peterrus
2

Из вашего программного центра есть приложение под названием fwanalog. Он утверждает, что будет анализировать зарегистрированные события от настроенного межсетевого экрана на основе iptables, такого как gufw.

Он будет писать html-логи, которые вы можете просматривать (/ var / log / fwanalog) - результаты отображаются как в виде текстовой статистики, так и в виде круговых диаграмм и т. Д.

Он не отвечает на ваши «активные» отчеты, часть вашего вопроса, но он позволяет вам просматривать ежедневную / еженедельную / ежемесячную статистику различных подключений и событий активной блокировки.

Примечание. Если вы находитесь за маршрутизатором, вы, вероятно, получите очень мало отчетов, поскольку большинство маршрутизаторов активно блокируют попытки подключения.

свобода ископаемых
источник