Kann ich über blockierte Verbindungsversuche benachrichtigt werden?

9

Auf meinem Computer wird Ubuntu 10.10 ausgeführt, und ich möchte wissen, ob es eine Firewall gibt, die mich aktiv informiert, wenn ein bestimmtes Programm versucht, auf das Internet zuzugreifen, oder wenn ein Verbindungsversuch aus dem Internet blockiert wird. Ich erinnere mich, dass ZoneAlarm für Windows Sie auf blockierte Versuche aufmerksam macht, aber jetzt, da ich zu Ubuntu gewechselt bin, bin ich mir nicht so sicher. Alles, was mich meine Suche führt, ist Gufw.

OpenCoderX
quelle
Obwohl es nicht genau das gleiche wie das Abfangen, aber wenn Sie sehen können , welche Verbindungen in Echtzeit vorgenommen werden mit sudo netstat -tup -W- die -ptFlagge des Ursprung App für jede Verbindung zeigen. Um einen Bericht über alle Verbindungen anzuzeigen, die in der Vergangenheit verwendet wurden, verwenden Sie ntop: (1) sudo apt-get install ntopStarten Sie den Dienst mit sudo /etc/init.d/ntop startund öffnen Sie localhost: 3000 in Ihrem Webbrowser. Unter Alle Protokolle > Verkehr sehen Sie eine Liste aller Verbindungen, die hergestellt werden. Leider zeigt ntop nicht an, welche App die Verbindungen initiiert hat.
ccpizza

Antworten:

2

Soweit ich weiß, lautet die Antwort auf beide Fragen leider "nein".

Details (aber ich werde es hier trotzdem vereinfachen):

Firewall, die mich aktiv informiert, wenn ein bestimmtes Programm versucht, auf das Internet zuzugreifen

  • Der von Firewalls verwendete Kernel-Netzfilter funktioniert auf Anwendungsebene nicht gut, daher wird er nicht für diesen Zweck verwendet. Obwohl es im Allgemeinen möglich ist, ausgehende Verbindungen (für alle Programme) zu filtern, ist dies schwierig, da Sie keine Verbindungen zu Port 80 blockieren können (für http verwendet - hier nur als Beispiel verwendet), was bedeutet, dass es sich um eine unerwünschte Anwendung handelt kann diesen Port leicht verwenden, um Verbindungen herzustellen.
  • Selbst wenn dies möglich wäre, wäre die Implementierung ziemlich schwierig, da die Verbindungen entweder zulässig oder blockiert sind (und nicht "abgefangen" oder "angehalten" werden, wie z. B. bei ZoneAlarm), sodass Sie keine Chance haben, aktiv zuzulassen oder zu sperren die Anfrage on-the-fly.
  • Eine Option auf Anwendungsebene wäre AppArmor(Sie können dort unter anderem die Verbindung zum Internet einschränken), aber sie ist nicht sehr anfängerfreundlich und detailliert.

Informiert aktiv, wenn ein Verbindungsversuch aus dem Internet blockiert wird

  • Dies ist der Fall, wenn Sie dies so konfigurieren - beispielsweise ufwstandardmäßig bei /var/log/kern.log. Eine Benachrichtigung über Systembenachrichtigungen ist sicherlich möglich, obwohl ich kein solches Programm kenne (denn AppArmores ist apparmor-notify).
ordnen
quelle
Dies scheint eine vernünftige Erklärung zu sein. Für diejenigen, die apparmor-notify verwenden möchten: Installieren Sie es über apt. Ändern Sie in /etc/apparmor/notify.conf die Benutzergruppe in 'adm' und fügen Sie Ihren Startanwendungen 'aa-notify -p' hinzu. Sie können es dann testen, indem Sie ein Ereignis "AppArmor Denied" mit "sudo tcpdump -i eth0 -n -s 0 -w / foo"
Peterrus
2

In Ihrem Software-Center gibt es eine Anwendung namens fwanalog. Es wird behauptet, dass es protokollierte Ereignisse von einer konfigurierten iptables-basierten Firewall wie einem Gufw analysiert.

Es werden HTML-Protokolle geschrieben, die Sie durchsuchen können (/ var / log / fwanalog). Die Ergebnisse werden sowohl als Textstatistik als auch als Kreisdiagramme usw. angezeigt.

Es beantwortet nicht Ihre "aktiven" Berichte als Teil Ihrer Frage, aber es ermöglicht Ihnen, tägliche / wöchentliche / monatliche Statistiken verschiedener Verbindungs- und aktiver Blockierungsereignisse anzuzeigen.

Hinweis - Wenn Sie sich hinter einem Router befinden, erhalten Sie wahrscheinlich nur sehr wenige Berichte, da die meisten Router Verbindungsversuche aktiv blockieren.

Fossfreiheit
quelle