Hallo nochmal,

diesmal was anderes. Ist es möglich wie bei einer Windowsfirewall jedem Dienst oder Programm den Internetzugang zunächst erlauben zu müssen, bevor es auf das Inet zugreifen kann?

Danke nochmal ;)

Nein, anwendungsbezogen geht das nicht mit iptables.

Guck dir mal IPtables an. Du blockst einfach alles und schaltest das frei was du gerade brauchst. Eine einfache Handhabung nach dem Motto "Programm will ins Netz, Fenster poppt hoch" ist mir unter Linux nicht bekannt.

Schade eigentlich, denn wenn man ja z.B. schon Port 80 für http freigibt, gibt es ja genug andere Programme die das ausnutzen können, die einen in aller Ruhe ausspionieren (ja ich bin wahrscheinlich durch die lange windoof praxis sehr paranoid =)).

Äh...nein. Wahrscheinlich meinst Du, dass Du Port 80 freigeben müsstest um ins Web zu kommen weil http auf Port 80 läuft. Das ist falsch. Wenn Du Port 80 frei gibst, dann heißt das, dass andere Leute sich mit einem Webbrowser auf Deinen Rechner verbinden können (...wenn Du apache laufen hast). Für ausgehende Verbindungen brauchst Du aber gar nix freizugeben.

achso also kann einfach jedes Programm unter Linux auf das Netz zugreifen und ich kann dem das nicht abgewöhnen? mhmm naja gut aber unter Linux soll es ja angeblich eh keine spyware geben ...

Ja...nee...doch :)
Also du könntest schon Ports von intern nach extern schließen, aber wie schon gesagt, nicht das Programm sondern eben Ports. Und wie Du richtig erkannt hast, gibt's unter Linux keine Spyware, weshalb dies ziemlich selten genutzt wird.

Das soll jetzt natürlich nicht heißen, dass man unter Linux keine Spyware zum laufen bekommt. ;)
Die Distributoren haben aber selbst ein großes Interesse daran, dass sie keine Spyware paketieren, sonst wäre ihr Ruf ziemlich hinüber.

man könnte mit pids arbeiten

beim start eines programmes wird das inserten einer rule getriggert

greez

hmm, so wie bei z.b zonealarm auf windows?

AFAIK bildet ZA und Co prüfsummen zur identifizierung der apps und kann über APIs direkt auf funktionen/informationen des OS zugreifen

das kann iptables als Layer3 firewall nicht
mit hilfe der PIDs kannst du dann aber meist eindeutig die applikation bestimmen, die versucht eine connection aufzubauen

evtl. ist systrace [1] noch etwas für dich

greez


[1]
https://www.linux-magazin.de/Artikel/ausgabe/2003/01/systrace/systrace.html

Hallo,

vielleicht nicht genau das Gesuchte, aber mit iptables sollte das in gewissem Rahmen gehen.

"ipt_owner - Owner match support"

Man könnte evtl. einen User nur für den Browser anlegen und dann für diesen explizit nur Port 80 freischalten.
Getestet habe ich das allerdings noch nicht.

Gruß,
Matze