Posso ser notificado sobre tentativas de conexão bloqueadas?

9

Meu computador está executando o Ubuntu 10.10 e eu gostaria de saber se há um firewall que me informe ativamente quando um determinado programa está tentando acessar a Internet ou quando uma tentativa de conexão está bloqueada. Lembro que o ZoneAlarm para Windows o alertará sobre tentativas bloqueadas, mas agora que mudei para o Ubuntu não tenho tanta certeza. Toda a minha pesquisa me leva a gufw.

OpenCoderX
fonte
Embora não seja exatamente o mesmo que interceptar, mas se você puder ver com que conexões são feitas em tempo real, sudo netstat -tup -Wo -ptsinalizador mostrará o aplicativo de origem para cada conexão. Para ver um relatório de todas as conexões historicamente usadas ntop: (1) faça sudo apt-get install ntop, inicie o serviço com sudo /etc/init.d/ntop starte abra localhost: 3000 no seu navegador da web. Em Todos os protocolos > Tráfego, você verá uma lista de todas as conexões sendo feitas. Infelizmente ntop não exibirá qual aplicativo iniciado as conexões ..
ccpizza

Respostas:

2

Tanto quanto sei, a resposta para ambas as perguntas é, infelizmente, "não".

Detalhes (mas vou simplificar aqui de qualquer maneira):

firewall que me informa ativamente quando um determinado programa está tentando acessar a Internet

  • O filtro de rede do kernel usado pelos firewalls não funciona bem no nível do aplicativo, portanto, não é usado para esse fim. Embora seja geralmente possível filtrar as conexões de saída (para todos os programas), é difícil, pois não é possível bloquear as conexões com a porta 80 (usada para http - usada apenas como exemplo aqui), o que significa que um aplicativo não autorizado pode facilmente usar essa porta para fazer conexões.
  • Mesmo que isso fosse possível, seria muito difícil de implementar, pois as conexões são permitidas ou bloqueadas (e não "interceptadas" ou "pausadas" como, por exemplo, com o ZoneAlarm), para que você não tenha a chance de permitir ou banir ativamente a solicitação on-the-fly.
  • Uma opção no nível do aplicativo seria AppArmor(você pode restringir a conexão à Internet, entre outras coisas), mas não é muito amigável e granular para iniciantes.

informa ativamente quando uma tentativa de conexão é bloqueada na Internet

  • Isso acontece se você o configurar - por exemplo, ufwpor padrão, registra para /var/log/kern.log. A notificação por meio de notificações do sistema certamente é possível, embora eu não conheça nenhum desses programas ( AppArmorpois é apparmor-notify).
organizar
fonte
Parece uma explicação razoável. Para aqueles que desejam usar o apparmor-notify: instale-o através do apt, em /etc/apparmor/notify.conf, altere o usergroup para 'adm' e adicione 'aa-notify -p' aos seus aplicativos de inicialização. Você pode, em seguida, testá-lo, desencadeando um evento AppArmor negado com 'sudo tcpdump -i eth0 -n -s 0 w / foo'
peterrus
2

No seu centro de software, há um aplicativo chamado fwanalog. Ele afirma que analisará eventos registrados de um firewall configurado com base em tabelas de ip, como um gufw.

Ele gravará logs html nos quais você pode navegar (/ var / log / fwanalog) - os resultados são exibidos como estatísticas de texto e como gráficos de pizza etc.

Ele não responde aos relatórios "ativos" que fazem parte da sua pergunta - mas permite que você veja estatísticas diárias / semanais / mensais de várias conexões e eventos de bloqueio ativos.

Nota - se você estiver atrás de um roteador, provavelmente receberá muito poucos relatórios, pois a maioria dos roteadores bloqueia ativamente as tentativas de conexão.

liberdade de expressão
fonte