私は、選択した1つから2つのアプリを除くすべてのアプリがインターネットにアクセスできないようにブロックする方法を探していました。
私はSimple Firewall(ufw)とそれに対応するGui(gufw)を見ました。
ただし、gufwには特定のプログラムのインターネットアクセスをブロックするオプションがないようです(Windowsファイアウォールはアウトバウンドルールを使用してこれを行います)。
質問:どうすればいいのか知っている人はいますか?
答え1
gufwデフォルトで提供されている他のファイアウォールは、アプリケーション固有のフィルタリング用に設計されていません。gufwこれは単純なGUIフロントエンドでufwあり、アプリケーションレベルでフィルタリングするようには設計されていません。 IP、ポートに基づいて基本的なフィルタリングルールを設定するための単純なフロントエンドです。 、等。
ufwあなたが探しているのは、標準のLinuxファイアウォールルールセットが受け入れることができる以上のものですgufw。持ついくつかの提案方法(Linkedはグループベースの制御なので、ネットワークにアクセスしたいアプリを特定のグループに追加する必要があります)が、他のアプリもあります。デュエイン、アプリケーション層でもこれを行うことができます。
答え2
インターネットアクセスをブロックする可能性のある方法の1つアプリケーション基準「サンドボックス」です。
通常、アプリケーションのネットワークアクセスはファイアウォールルールを使用して間接的に制御されます。一般に、アプリケーションは一貫した方法(または到着特定のポート/アドレス、または~から特定のポート/アドレス)、ファイアウォールを使用すると、特定のポートまたはアドレスへのアクセスをブロックして、インターネット(または他のコンピュータ)にアクセスするアプリケーションの機能を無効にできます。しかし、アプリケーションが一貫した方法で通信しないと、すべてのネットワークが確実にブロックされるため、ファイアウォールルールを作成するのは非常に困難です。実行しようとしているアプリケーションは同じポート/アドレスを使用して通信し、ファイアウォールは両方のアプリケーションをブロックできます。
サンドボックスは、アプリケーション用に別々の環境を作成するように設計されたすべての戦略を指す一般的な用語です。一般的な理由の1つは、基本的にアプリケーションが対話するターゲットをよく理解することです。明示的に許可されていない限り、アプリケーションは「サンドボックス」以外の任意のアイテムにアクセスできません。。
完全な設定については説明しませんが、DockerやKubernetesなどのソフトウェアはこれを念頭に置いて設計されています。 「コンテナ」(別名サンドボックス)で実行されているソフトウェアに対してできるだけ多くの変更を許可できます。できるだけネットワークにアクセスしてください。
言うまでもなく、まだやるべきことが多い。すべてただし、特に興味のあるアプリケーションがある場合は、それほど価値がある可能性があります。
答え3
GNU/Linux 用 Douane パーソナルファイアウォール
考えられる解決策が見つかりました。GNU/Linux 用 Douane パーソナルファイアウォール-ログインページ、新しいホームページ。
しかし、あなたに適したUbuntuパッケージのバージョンが見つかりませんでした。
サポート:
- アプリケーション/ライブラリによって生成されたすべての発信接続
- プロトコル:すべて(NetFilterと同じ)
- 方向:外向性を聞く
サポートしていない:
- 非ユーザー空間接続: netbios/etc... (カーネル)
- iptables(douaneでは使用されませんが、douaneと並行して使用することをお勧めします)
- 方向:受信(iptablesを使用)
すべてがよく説明されているのでDouane - GitLabコンパイルページ、コンパイルプロセスには問題がないようです。