Bisakah saya diberitahu tentang upaya koneksi yang diblokir?

9

Komputer saya menjalankan Ubuntu 10.10 dan saya ingin tahu apakah ada firewall yang secara aktif memberitahu saya ketika suatu program mencoba mengakses internet atau ketika upaya koneksi diblokir dari internet. Saya ingat ZoneAlarm untuk Windows akan memperingatkan Anda tentang upaya yang diblokir tetapi sekarang saya telah beralih ke Ubuntu, saya tidak begitu yakin. Semua pencarian saya menuntun saya ke gufw.

OpenCoderX
sumber
Meskipun tidak persis sama dengan intersepsi, tetapi jika Anda dapat melihat koneksi apa yang dibuat secara real-time sudo netstat -tup -W- -ptbendera akan menampilkan aplikasi asal untuk setiap koneksi. Untuk melihat laporan semua koneksi yang pernah digunakan secara historis ntop: (1) lakukan sudo apt-get install ntop, mulai layanan dengan sudo /etc/init.d/ntop start, lalu buka localhost: 3000 di browser web Anda. Di bawah Semua Protokol > Lalu Lintas Anda akan melihat daftar semua koneksi yang dibuat. Sayangnya ntop tidak akan menampilkan aplikasi mana yang memulai koneksi ..
ccpizza

Jawaban:

2

Sejauh yang saya tahu jawaban untuk kedua pertanyaan ini sayangnya "tidak".

Detail (tapi saya akan tetap menyederhanakan di sini):

firewall yang secara aktif memberitahu saya ketika suatu program mencoba mengakses internet

  • Filter net kernel yang digunakan firewall tidak berfungsi dengan baik pada level aplikasi, sehingga tidak digunakan untuk tujuan itu. Meskipun umumnya memungkinkan untuk memfilter koneksi keluar (untuk semua program), ini sulit dilakukan, karena Anda tidak dapat memblokir koneksi ke port 80 (digunakan untuk http - hanya digunakan sebagai contoh di sini), yang berarti aplikasi yang nakal dapat dengan mudah menggunakan port itu untuk membuat koneksi.
  • Bahkan jika ini mungkin, akan sangat sulit untuk diterapkan, karena koneksi diperbolehkan atau diblokir (dan tidak "dicegat" atau "dijeda" seperti misalnya ZoneAlarm) sehingga Anda tidak mendapatkan kesempatan untuk secara aktif mengizinkan atau melarang permintaan on-the-fly.
  • Salah satu opsi pada level aplikasi adalah AppArmor(Anda dapat membatasi koneksi ke Internet di antara hal-hal lain di sana), tetapi itu tidak terlalu ramah-pemula dan granular.

secara aktif menginformasikan ketika upaya koneksi diblokir dari internet

  • Itu terjadi jika Anda mengkonfigurasinya jadi - misalnya ufwdengan log default ke /var/log/kern.log. Notifikasi melalui notifikasi sistem tentu dimungkinkan walaupun saya tidak mengetahui adanya program semacam itu (untuk AppArmoritu apparmor-notify).
mengatur
sumber
Ini sepertinya penjelasan yang masuk akal. Bagi mereka yang ingin menggunakan apparmor-notify: instal melalui apt, di /etc/apparmor/notify.conf ubah usergroup menjadi 'adm' dan tambahkan 'a-notify -p' ke aplikasi startup Anda. Anda kemudian dapat mengujinya dengan memicu acara AppArmor Denied dengan 'sudo tcpdump -i eth0 -n -s 0 -w / foo'
peterrus
2

Dari pusat perangkat lunak Anda ada aplikasi yang disebut fwanalog. Ia mengklaim bahwa ia akan menganalisis peristiwa yang dicatat dari firewall berbasis iptables yang dikonfigurasi seperti gufw.

Ini akan menulis log html yang dapat Anda telusuri (/ var / log / fwanalog) - hasilnya ditampilkan sebagai statistik teks dan sebagai diagram lingkaran dll.

Itu tidak menjawab "aktif" Anda melaporkan sebagian dari pertanyaan Anda - tetapi itu akan memungkinkan Anda untuk melihat statistik harian / mingguan / bulanan dari berbagai koneksi dan peristiwa pemblokiran aktif.

Catatan - jika Anda berada di belakang router, Anda mungkin akan mendapatkan laporan yang sangat sedikit karena sebagian besar router secara aktif memblokir upaya koneksi.

kebebasan fosil
sumber