web-dev-qa-db-ja.com

Ubuntu-選択した少数を除くすべてのアプリケーションへのインターネットアクセスをブロックする

1つまたは2つの選択したアプリケーションを除いて、すべてのアプリケーションがインターネットにアクセスするのをブロックする方法を探していました。

私は複雑でないファイアウォール(ufw)とそれぞれのGui(gufw)を調べました。

enter image description here

しかし、gufwには、特定のプログラムがインターネットにアクセスするのをブロックするオプションがないようです(Windowsファイアウォールは、アウトバウンドルールでこれを行います)。

質問:誰かが私がそれを成し遂げることができるかもしれない方法を知っていますか?

5
Webeng

gufwおよびその他のデフォルトで出荷されるファイアウォールは、アプリケーションでフィルタリングするようには設計されていません-gufwufwへの単純なGUIフロントエンドであり、アプリケーションでフィルタリングするようには設計されていませんレベル、それは単にIP、ポートなどに基づいて基本的なフィルタリングルールを設定するための単純なフロントエンドです。

あなたが探しているものは、ufwgufwが対応できる標準のFirewall-in-Linuxルールセットを超えています。 いくつかの推奨される方法 (リンクされたものはグループベースのコントロールであるため、特定のグループに「ネット」にアクセスするアプリケーションを追加する必要があります)しかし、他のアプリケーションもあります- Douane 、これはアプリケーション層でもこれを行うことができます。

6
Thomas Ward

私はあなたのための可能な解決策を見つけました: Douane-ホームページ

しかし、Ubuntuのパッケージバージョンは見つかりませんでした。

しかし、すべてが Douane-GitHubコンパイルページ で十分に説明されているように見えるので、問題はありません。

1

アプリケーションごとにインターネットアクセスをブロックできる方法の1つは「サンドボックス」です。

多くの場合、アプリケーションとの間のネットワークアクセスは、ファイアウォールルールを使用して間接的に制御されます。通常、アプリケーションが一貫した方法で通信しようとするto特定のポート/アドレス、または from特定のポート/アドレス)、およびファイアウォールを使用すると、インターネット(または他のコンピューター)にアクセスするアプリケーションの機能を無効にする目的で、特定のポートまたはアドレスへのアクセスを防止できます。 )。ただし、アプリケーションが一貫した方法で通信しない場合、ファイアウォールルールを作成するのが非常に難しくなるため、そのネットワークのすべてを確実にブロックしました。また、作業したいアプリケーションが同じポート/アドレスを使用して通信することもあり、ファイアウォールが両方のアプリケーションをブロックする可能性があります。

サンドボックス化は、アプリケーション用に別の環境を作成することを目的とした戦略の総称です。これの一般的な理由の1つは、デフォルトで通常デフォルトでアプリケーションが「サンドボックス」の外部にアクセスできないため、特別に許可しない限り、アプリケーションが対話する対象を完全に認識することです

完全なセットアップについては説明しませんが、DockerやKubernetesなどのソフトウェアは、これを念頭に置いて設計されています。 「コンテナー」(サンドボックス)で実行されているソフトウェアへのネットワークアクセスを、ほとんどまたはまったく許可しないようにすることができます。

言うまでもなく、コンテナ内でeverythingを実行するのははるかに多くの作業ですが、特にいくつかのアプリケーションがある場合、それについて心配しています彼らにとって価値があるかもしれません。

0
Centimane