Linux firewall & aplikace. [Vyřešeno]

[iX]

Jde nějak na Linuxu nastavit firewall pro konkrétní aplikace?
Když třeba mám zakázáno vše a povoleno jen to, co chci, jak potom povolit jen pro KTorrent všechno odevšad na libovolnym portu a a libovolným rozhraní?

[daysleeper]

co vim neexistuje v linuxu jednoduchy zpusob jak vytvaret pravidla na urovni aplikace
duvodu je vice, hlavni filtr v jadre (iptables) vytvareni takovych pravidel neumoznuje, a dale je temer nemozne zarucit, ze napr. KTorrent je skutecne KTorrent a ne KTorrent.malware

ufw v ubuntu ma jakesi nastaveni podle aplikaci (viz man ufw, ufw app), ale to definuje jen porty a ip rozsahy dle potreb konkretni aplikace bez toho, ze by se pravidlo uplatnovalo pouze pro ni

na druhou stranu ufw ve vychozim nastaveni (allow outgoing, deny incoming) poskytuje zakladni a relativne bezpecnou filtraci, protoze povoluje jen "ESTABLISHED" incoming spojeni, coz pri pouzivani torrent klientu (u me transmission) staci - jen mizive procento prichozich spojeni je odmitnuto

/that said/ bych take byl radsi kdyby takova moznost v linuxu byla

[iX]

Jo, už aby to nekdo napravil...
Jinak je zajímavy - divny, že v Kubuntu 11.04 jsem měl ufw defaultne vypnutý (čistá instalace) - a všechno procházelo .

[Šuohob]

Nesla by nejaka podobna konstrukce napriklad ve fireholu?

Kód: [Vybrat]

server ktorrent accept

[daysleeper]

Jo, už aby to nekdo napravil...
Jinak je zajímavy - divny, že v Kubuntu 11.04 jsem měl ufw defaultne vypnutý (čistá instalace) - a všechno procházelo .

tomu nerozumim 

[iX]

Ještě bych chtěl vyřešit toto: Příchozí spojení bitorrentu přes teredo. Log ufw mám plný tohoto - viz níže, a žádné příchozí spojení v KTorentu. Když ufw vypnu, jede to - plno teredích (ipv6) příchozích spojení v logu ktorentu.

May 24 18:19:45 aa kernel: [ 1157.419846] [UFW BLOCK] IN=teredo OUT= MAC= SRC=2001:0000:5ef5:79fd:10b7:103e:a83f:5f09 DST=2001:0000:98aa:064c:14b2:3333:b2cf:77ca LEN=40 TC=0 HOPLIMIT=21 FLOWLBL=0 PROTO=59
May 24 18:19:45 aa kernel: [ 1157.619125] [UFW BLOCK] IN=teredo OUT= MAC= SRC=2001:0000:5ef5:79fd:38e6:3c1a:a54b:3311 DST=2001:0000:98aa:064c:14b2:3333:b2cf:77ca LEN=40 TC=0 HOPLIMIT=21 FLOWLBL=0 PROTO=59
May 24 18:20:05 aa kernel: [ 1177.346269] [UFW BLOCK] IN=teredo OUT= MAC= SRC=2001:0000:5ef5:73b8:3884:1735:2baf:b6fd DST=2001:0000:98aa:064c:14b2:3333:b2cf:77ca LEN=40 TC=0 HOPLIMIT=21 FLOWLBL=0 PROTO=59

Přes ufw tento protokol - 59 - nejde vůbec zadat-povolit, ufw zná jen tcp a udp!
Nastavení ufw:

Kód: [Vybrat]

ee@aa:~$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

Do                         Akce        Od
--                         ----        --

6881                       ALLOW IN    Anywhere
6881                       ALLOW IN    Anywhere (v6)

ee@aa:~$

A ip6tables:

Kód: [Vybrat]

ee@aa:~$ sudo ip6tables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ufw6-before-logging-input  all      ::/0                 ::/0               
ufw6-before-input  all      ::/0                 ::/0               
ufw6-after-input  all      ::/0                 ::/0               
ufw6-after-logging-input  all      ::/0                 ::/0               
ufw6-reject-input  all      ::/0                 ::/0               
ufw6-track-input  all      ::/0                 ::/0               

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ufw6-before-logging-forward  all      ::/0                 ::/0               
ufw6-before-forward  all      ::/0                 ::/0               
ufw6-after-forward  all      ::/0                 ::/0               
ufw6-after-logging-forward  all      ::/0                 ::/0               
ufw6-reject-forward  all      ::/0                 ::/0               

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ufw6-before-logging-output  all      ::/0                 ::/0               
ufw6-before-output  all      ::/0                 ::/0               
ufw6-after-output  all      ::/0                 ::/0               
ufw6-after-logging-output  all      ::/0                 ::/0               
ufw6-reject-output  all      ::/0                 ::/0               
ufw6-track-output  all      ::/0                 ::/0               

Chain ufw6-after-forward (1 references)
target     prot opt source               destination         

Chain ufw6-after-input (1 references)
target     prot opt source               destination         
ufw6-skip-to-policy-input  udp      ::/0                 ::/0                udp dpt:137
ufw6-skip-to-policy-input  udp      ::/0                 ::/0                udp dpt:138
ufw6-skip-to-policy-input  tcp      ::/0                 ::/0                tcp dpt:139
ufw6-skip-to-policy-input  tcp      ::/0                 ::/0                tcp dpt:445
ufw6-skip-to-policy-input  udp      ::/0                 ::/0                udp dpt:67
ufw6-skip-to-policy-input  udp      ::/0                 ::/0                udp dpt:68

Chain ufw6-after-logging-forward (1 references)
target     prot opt source               destination         
LOG        all      ::/0                 ::/0                limit: avg 3/min burst 10 LOG flags 0 level 4 prefix `[UFW BLOCK] '

Chain ufw6-after-logging-input (1 references)
target     prot opt source               destination         
LOG        all      ::/0                 ::/0                limit: avg 3/min burst 10 LOG flags 0 level 4 prefix `[UFW BLOCK] '

Chain ufw6-after-logging-output (1 references)
target     prot opt source               destination         

Chain ufw6-after-output (1 references)
target     prot opt source               destination         

Chain ufw6-before-forward (1 references)
target     prot opt source               destination         
DROP       all      ::/0                 ::/0                rt type:0
ufw6-user-forward  all      ::/0                 ::/0               

Chain ufw6-before-input (1 references)
target     prot opt source               destination         
ACCEPT     all      ::/0                 ::/0               
DROP       all      ::/0                 ::/0                rt type:0
ACCEPT     icmpv6    ::/0                 ::/0                ipv6-icmp type 135 HL match HL == 255
ACCEPT     icmpv6    ::/0                 ::/0                ipv6-icmp type 136 HL match HL == 255
ACCEPT     icmpv6    ::/0                 ::/0                ipv6-icmp type 133 HL match HL == 255
ACCEPT     icmpv6    ::/0                 ::/0                ipv6-icmp type 134 HL match HL == 255
ACCEPT     all      ::/0                 ::/0                state RELATED,ESTABLISHED
ACCEPT     icmpv6    fe80::/10            ::/0                ipv6-icmp type 129
ufw6-logging-deny  all      ::/0                 ::/0                state INVALID
DROP       all      ::/0                 ::/0                state INVALID
ACCEPT     icmpv6    ::/0                 ::/0                ipv6-icmp type 1
ACCEPT     icmpv6    ::/0                 ::/0                ipv6-icmp type 2
ACCEPT     icmpv6    ::/0                 ::/0                ipv6-icmp type 3
ACCEPT     icmpv6    ::/0                 ::/0                ipv6-icmp type 4
ACCEPT     icmpv6    ::/0                 ::/0                ipv6-icmp type 128
ACCEPT     udp      ::/0                 ::/0                udp spt:67 dpt:68
ACCEPT     udp      ::/0                 ff02::fb/128        udp dpt:5353
ufw6-user-input  all      ::/0                 ::/0               

Chain ufw6-before-logging-forward (1 references)
target     prot opt source               destination         

Chain ufw6-before-logging-input (1 references)
target     prot opt source               destination         

Chain ufw6-before-logging-output (1 references)
target     prot opt source               destination         

Chain ufw6-before-output (1 references)
target     prot opt source               destination         
ACCEPT     all      ::/0                 ::/0               
DROP       all      ::/0                 ::/0                rt type:0
ACCEPT     icmpv6    ::/0                 ::/0                ipv6-icmp type 135 HL match HL == 255
ACCEPT     icmpv6    ::/0                 ::/0                ipv6-icmp type 136 HL match HL == 255
ACCEPT     all      ::/0                 ::/0                state RELATED,ESTABLISHED
ufw6-user-output  all      ::/0                 ::/0               

Chain ufw6-logging-allow (0 references)
target     prot opt source               destination         
LOG        all      ::/0                 ::/0                limit: avg 3/min burst 10 LOG flags 0 level 4 prefix `[UFW ALLOW] '

Chain ufw6-logging-deny (1 references)
target     prot opt source               destination         
RETURN     all      ::/0                 ::/0                state INVALID limit: avg 3/min burst 10
LOG        all      ::/0                 ::/0                limit: avg 3/min burst 10 LOG flags 0 level 4 prefix `[UFW BLOCK] '

Chain ufw6-reject-forward (1 references)
target     prot opt source               destination         

Chain ufw6-reject-input (1 references)
target     prot opt source               destination         

Chain ufw6-reject-output (1 references)
target     prot opt source               destination         

Chain ufw6-skip-to-policy-forward (0 references)
target     prot opt source               destination         
DROP       all      ::/0                 ::/0               

Chain ufw6-skip-to-policy-input (6 references)
target     prot opt source               destination         
DROP       all      ::/0                 ::/0               

Chain ufw6-skip-to-policy-output (0 references)
target     prot opt source               destination         
ACCEPT     all      ::/0                 ::/0               

Chain ufw6-track-input (1 references)
target     prot opt source               destination         

Chain ufw6-track-output (1 references)
target     prot opt source               destination         
ACCEPT     tcp      ::/0                 ::/0                state NEW
ACCEPT     udp      ::/0                 ::/0                state NEW

Chain ufw6-user-forward (1 references)
target     prot opt source               destination         

Chain ufw6-user-input (1 references)
target     prot opt source               destination         
ACCEPT     tcp      ::/0                 ::/0                tcp dpt:6881
ACCEPT     udp      ::/0                 ::/0                udp dpt:6881

Chain ufw6-user-limit (0 references)
target     prot opt source               destination         

Chain ufw6-user-limit-accept (0 references)
target     prot opt source               destination         

Chain ufw6-user-logging-forward (0 references)
target     prot opt source               destination         

Chain ufw6-user-logging-input (0 references)
target     prot opt source               destination         

Chain ufw6-user-logging-output (0 references)
target     prot opt source               destination         

Chain ufw6-user-output (1 references)
target     prot opt source               destination         
ee@aa:~$


[jAster_BA]

Kód: [Vybrat]

sudo apt-get install gufw a tam ti to hneď ponúkne možnosť, ktorú hladáš.

[iX]

Joj... Naneštěstí s instalací gufw je třeba nainstalovat asi půlku Gnome...fuj! Do tohoto jít nechci...
Ale díky že aspoň vím, že to asi pujde.
On ten gufw je přece jenom taky jenom nádstavba pro ufw, jako je ufw nádstavba pro iptables, že?

Jestli ten gufw nááhodou máš nainstalený, nemohl bys prosím tě v něm todle povolit, a vhodit sem výpis iptables? (A pak to zase zakázat).

[jAster_BA]

Jáááj KDEčkar

[iX]

Sorry za to fuj..

Ale nemoh' jsem si pomoct

[iX]

Už jsem na to přišel! :  

sudo ip6tables -I INPUT -p 59 -j ACCEPT
sudo ip6tables -I INPUT -p 129 -j ACCEPT


Důležité bylo toto zadat až po tom, co je ip6tables nastaveno pomocí ufw; a taky to "-I", místo obvyklého "-A", - aby se pravidlo provedlo hned na začátku, než jsou tyto pakety poslány do dalších sekcí ip6tables, kde jsou nakonec jako "invalid" sešrotovány...
Asi z ufw přejdu rovnou na ip(6)tables, ufw je až příliš jednoduchý (uncomplicated firewall ), iptables už trochu začínám chápat...
Takže teď mi už do ktorrentu jdou i příchozí spojení, i když jsem za NATem!