¿Puedo recibir notificaciones sobre intentos de conexión bloqueados?

9

Mi computadora está ejecutando Ubuntu 10.10 y me gustaría saber si hay un firewall que me informa activamente cuando un determinado programa está intentando acceder a Internet o cuando un intento de conexión está bloqueado desde Internet. Recuerdo que ZoneAlarm para Windows lo alertará sobre intentos bloqueados, pero ahora que me he cambiado a Ubuntu no estoy tan seguro. Toda mi búsqueda me lleva a gufw.

OpenCoderX
fuente
Aunque no es exactamente lo mismo que interceptar, pero si puede ver qué conexiones se realizan en tiempo real sudo netstat -tup -W, la -ptbandera mostrará la aplicación de origen para cada conexión. Para ver un informe de todas las conexiones históricamente utilizadas ntop: (1) hazlo sudo apt-get install ntop, inicia el servicio con sudo /etc/init.d/ntop start, y luego abre localhost: 3000 en tu navegador web. En Todos los protocolos > Tráfico , verá una lista de todas las conexiones que se están realizando. Desafortunadamente, ntop no mostrará qué aplicación inició las conexiones ..
ccpizza

Respuestas:

2

Hasta donde yo sé, la respuesta a ambas preguntas es, lamentablemente, "no".

Detalles (pero voy a simplificar aquí de todos modos):

cortafuegos que me informa activamente cuando un determinado programa intenta acceder a Internet

  • El filtro de red del núcleo que usan los firewalls no funciona bien en el nivel de la aplicación, por lo que no se usa para ese propósito. Aunque generalmente es posible filtrar las conexiones salientes (para todos los programas), es difícil de hacer, ya que no puede bloquear las conexiones al puerto 80 (utilizado para http, solo se usa como ejemplo aquí), lo que significa que una aplicación no autorizada puede usar fácilmente ese puerto para hacer conexiones.
  • Incluso si esto fuera posible, sería bastante difícil de implementar, ya que las conexiones están permitidas o bloqueadas (y no "interceptadas" o "pausadas" como con, por ejemplo, ZoneAlarm) para que no tenga la oportunidad de permitir o prohibir activamente La solicitud sobre la marcha.
  • Una opción a nivel de aplicación sería AppArmor(puede restringir la conexión a Internet, entre otras cosas allí), pero no es muy amigable para los principiantes y granular.

informa activamente cuando un intento de conexión se bloquea desde internet

  • Lo hace si lo configura así, por ejemplo, ufwpor defecto registra en /var/log/kern.log. La notificación a través de notificaciones del sistema es ciertamente posible, aunque no conozco ningún programa de este tipo (porque AppArmorlo es apparmor-notify).
organizar
fuente
Esto parece una explicación razonable. Para aquellos que quieran usar apparmor-notify: instálelo a través de apt, en /etc/apparmor/notify.conf cambie el grupo de usuarios a 'adm' y agregue 'aa-notify -p' a sus aplicaciones de inicio. Luego puede probarlo activando un evento denegado por AppArmor con 'sudo tcpdump -i eth0 -n -s 0 -w / foo'
peterrus
2

Desde su centro de software hay una aplicación llamada fwanalog. Afirma que analizará los eventos registrados desde un firewall configurado basado en iptables como un gufw.

Escribirá registros html que puede examinar (/ var / log / fwanalog): los resultados se muestran como estadísticas de texto y como gráficos circulares, etc.

No responde a sus informes "activos" como parte de su pregunta, pero le permitirá ver estadísticas diarias / semanales / mensuales de varias conexiones y eventos de bloqueo activo.

Nota: si está detrás de un enrutador, probablemente obtendrá muy pocos informes, ya que la mayoría de los enrutadores bloquean activamente los intentos de conexión.

fossfreedom
fuente