Tôi có thể được thông báo về các nỗ lực kết nối bị chặn không?


9

Máy tính của tôi đang chạy Ubuntu 10.10 và tôi muốn biết liệu có tường lửa nào chủ động thông báo cho tôi khi một chương trình nào đó đang cố truy cập internet hoặc khi một nỗ lực kết nối bị chặn khỏi internet. Tôi nhớ ZoneAlarm cho Windows sẽ cảnh báo bạn về các nỗ lực bị chặn nhưng bây giờ tôi đã chuyển sang Ubuntu tôi không chắc lắm. Tất cả các tìm kiếm của tôi dẫn tôi đến là gufw.


Mặc dù nó không hoàn toàn giống với việc chặn, nhưng nếu bạn có thể thấy những kết nối nào được thực hiện trong thời gian thực với sudo netstat -tup -W- -ptcờ sẽ hiển thị ứng dụng gốc cho mỗi kết nối. Để xem báo cáo về tất cả các kết nối đã được sử dụng trong lịch sử ntop: (1) sudo apt-get install ntop, hãy bắt đầu dịch vụ với sudo /etc/init.d/ntop start, sau đó mở localhost: 3000 trong trình duyệt web của bạn. Trong Tất cả các giao thức > Lưu lượng, bạn sẽ thấy một danh sách tất cả các kết nối đang được thực hiện. Thật không may, ntop sẽ không hiển thị ứng dụng nào đã khởi tạo các kết nối ..
ccpizza

Câu trả lời:


2

Theo như tôi biết thì câu trả lời cho cả hai câu hỏi thật đáng tiếc là "không".

Chi tiết (nhưng dù sao tôi cũng sẽ đơn giản hóa ở đây):

tường lửa chủ động thông báo cho tôi khi một chương trình nào đó đang cố truy cập internet

  • Bộ lọc mạng kernel mà tường lửa sử dụng không hoạt động tốt ở cấp độ ứng dụng, vì vậy nó không được sử dụng cho mục đích đó. Mặc dù nhìn chung có thể lọc các kết nối đi (đối với tất cả các chương trình), nhưng điều này rất khó thực hiện, vì bạn không thể chặn kết nối với cổng 80 (được sử dụng cho http - chỉ được sử dụng làm ví dụ ở đây), có nghĩa là một ứng dụng giả mạo có thể dễ dàng sử dụng cổng đó để tạo kết nối.
  • Ngay cả khi điều này là có thể, nó sẽ khá khó để thực hiện, vì các kết nối được cho phép hoặc bị chặn (và không bị "chặn" hoặc "tạm dừng" như với ví dụ như ZoneAlarm) vì vậy bạn không có cơ hội chủ động cho phép hoặc cấm yêu cầu trên đường bay
  • Một tùy chọn ở cấp độ ứng dụng sẽ là AppArmor(bạn có thể hạn chế kết nối với Internet trong số những thứ khác ở đó), nhưng nó không thân thiện với người mới bắt đầu và chi tiết.

chủ động thông báo khi một nỗ lực kết nối bị chặn khỏi internet

  • Nó sẽ làm nếu bạn cấu hình nó như vậy - ví dụ ufwtheo mặc định đăng nhập /var/log/kern.log. Thông báo qua các thông báo hệ thống chắc chắn là có thể mặc dù tôi không biết về bất kỳ chương trình nào như vậy (đối với AppArmornó là apparmor-notify).

Đây dường như là một lời giải thích hợp lý. Đối với những người muốn sử dụng apparmor-notify: cài đặt nó thông qua apt, trong /etc/apparmor/notify.conf thay đổi nhóm người dùng thành 'adm' và thêm 'aa-notify -p' vào các ứng dụng khởi động của bạn. Sau đó, bạn có thể kiểm tra nó bằng cách kích hoạt sự kiện Từ chối AppArmor với 'sudo tcpdump -i eth0 -n -s 0 -w / foo'
peterrus


2

Từ trung tâm phần mềm của bạn có một ứng dụng gọi là fwanalog. Nó tuyên bố rằng nó sẽ phân tích các sự kiện được ghi lại từ một tường lửa dựa trên iptables được cấu hình như một gufw.

Nó sẽ viết nhật ký html mà bạn có thể duyệt (/ var / log / fwanalog) - kết quả được hiển thị dưới dạng cả thống kê văn bản và dưới dạng biểu đồ hình tròn, v.v.

Nó không trả lời phần báo cáo "hoạt động" của bạn trong câu hỏi của bạn - nhưng nó sẽ cho phép bạn xem số liệu thống kê hàng ngày / hàng tuần / hàng tháng về các sự kiện kết nối và chặn hoạt động khác nhau.

Lưu ý - nếu bạn đứng sau bộ định tuyến, có thể bạn sẽ nhận được rất ít báo cáo do hầu hết các bộ định tuyến chủ động chặn các nỗ lực kết nối.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.