Hallo,
iptables ist ja nun mal die Standardfirewall unter Linux. Und sie ist auch gut, keine Frage - bei richtiger Konfiguration. Doch hin und wieder komme auch in Software in die Hände deren Quellcode nicht offen ist - und nun möchte ich gerne, dass mich das System warnt, wenn dieses Programm Sockets verwendet/aufs Internet zugreifen möchte. Aber mit dem normalen Iptables sehe ich keine Möglichkeit dies zu realisieren.
Wäre über Infos zu diesem Thema sehr dankbar!
Danke

Das Thema hatten wir vor ein paar Tagen schon mal. Ergbenis war in die Richtung: "gibt´s nicht" soweit ich mich erinnere.

mhm ... schade :(

hallo!

du hast nicht verstanden was iptables ist.
iptables ist ein paketfilter keine firewall.
und um ganz genau zu sein ist iptables nur das steuerprogramm für den paketfilter von linux( der netfilter).

du könntest es über rbac von grsecurity lösen, aber das ist nicht ganz einfach.

eine idioten firewall a la zonealam gibt es nicht, sowas braucht auch keiner.

//richard

Und wie kann ich mich dann vor dem Klau sensitiver Daten schützen?
Kann ich dem Programm die Rechte entziehen durch das Sperren bestimmter Funktionen oder so? Vielleicht ne Art chroot für Sockets?

Und wie kann ich mich dann vor dem Klau sensitiver Daten schützen?
Kann ich dem Programm die Rechte entziehen durch das Sperren bestimmter Funktionen oder so? Vielleicht ne Art chroot für Sockets?
eben genau das kann grsecurity.

//richard

Hab ich gerade zufällig entdeckt:
http://www.stud.uni-hamburg.de/users/lennart/projects/fieryfilter/

Sieht irgendwie nach dem aus, was du suchst.

Hi,

datt Dingen funzt sogar (siehe Anhang).....die aktuelle Version 0.4 ist allerdings von 2003......und Programme zeigt es nicht an, sondern nur IPTABLES-LIKE Quelle/Ziel/Port

Zum überwachen sehr interesant, aber als Schutz ?

Greetz
Marc

Das ist auch per iptables selbst realisierbar - Stichwort Logging.

mfg
cane

hallo!

eine idioten firewall a la zonealam gibt es nicht, sowas braucht auch keiner.

//richard

Gibt es doch, sogar mit offenem Quelltext :D

#!/bin/bash
echo -n Starting firewall.
while true; do
sleep 1
echo -n .
if [ $(($RANDOM%13)) -eq 2 ]; then
break;
fi
done
echo
echo Your system is now secure\!
while true; do
sleep $(($RANDOM%53))
echo "Blocked attack from host $(($RANDOM%256)).$(($RANDOM%256)).$(($RANDOM%256)) .$(($RANDOM%255+1)) on port $(($RANDOM%65535+1))!!!"
done
exit 0

omfg, dann kann ich ja ab heute beruhigt schlafen gehen :eek: :ugly: :ugly:

du hast nicht verstanden was iptables ist.
iptables ist ein paketfilter keine firewall.
und um ganz genau zu sein ist iptables nur das steuerprogramm für den paketfilter von linux( der netfilter).

Hat er ja vermutlich schon - darum fragt er ja auch was es gibt. :)



du könntest es über rbac von grsecurity lösen, aber das ist nicht ganz einfach.

Das hat man mir auch gesagt als ich das das letzte mal gefragt habe. Nur ist das umständlich und grsecurity schlägt sich leider mit software suspend 2 :(

Und für jeden Kernel von Hand ne Stunde an rejects rumfrickeln nur deswegen tönt nicht sehr verlockend.

Gibts da keine bessere Lösung à la



eine idioten firewall a la zonealam gibt es nicht, sowas braucht auch keiner.


idioten firewall. Vielleicht nicht gerade Zonealarm, das ist wirklich ein Idiotendings - da hst du recht. Besser à la Outpost oder so? (Wobei du meinst vermutlich Personal Firewalls im Allgmeinen seinen Idiotendinger oder? ;))

Naja, vielleicht überwinde ich mich dann nächstes jahr mal für die zwei proprietären Softwarestücke die ich auf Linux habe (Acroread und Java) mal so ein Ding einzurichten. Acroread insbesondere scheint das ja diesbezüglich ein Kindermädchen nötig zu haben :rolleyes:

Oder wir machen dann gleich eine Xen-Virtual Machine für die beinden Programme mit X11 Tunnel und so :ugly:

MfG Peschmä

Hast du dir mal "Firestarter" angesehen?

Das sollte für deinen Zweck eigentlich völlig ausreichend sein. Es zeigt dir u.A. mit Programmnamen die Dienste an, die auf das Internet zugreifen ( möchten ).

Es ist quasi eine Art Frontend für IPTables und setzt ein installiertes gtk-Toolkit voraus ( falls du Gnome nutzt ist dieses bereits vorhanden ).

Ich nutze das Programm auf meinen Desktop-PCs, weil ich bislang noch keine Lust und Zeit hatte mich detailliert mit IPTables und dessen Syntax auseinanderzusetzen.

-hanky-

Danke viemals. Das sieht schon mal sehr gut aus. Gleich mal testen. Scheint als hätte ich mein Acroread-Kindermädchen gefunden. :)

MfG Peschmä

na geht doch ....
ich will keine idiotenfirewall, sondern eine, die mir sagt wenn ein programm aufs internet zugreifen will ... ihr spasstis

na geht doch ....
ich will keine idiotenfirewall, sondern eine, die mir sagt wenn ein programm aufs internet zugreifen will ... ihr spasstis
höhö, aber nicht in dem ton!

//richard