Firewall - Ports nur für ein Programm öffnen

Dieses Thema im Forum "Linux-Distributionen" wurde erstellt von xadian, 14. August 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. xadian

    xadian ROM

    Registriert seit:
    14. August 2005
    Beiträge:
    4
    Hi

    ich hab ein Problem bei der Linux Firewall. Ich möchte auf meinem Rechner (Suse 9.3) bestimmten Programmen den Netzwerkzugriff (teils komplett, teils nur einzelne Ports) sperren. Bisher hab ich kein FW-Tool (wie fwbuilder oder so) benutzt und hab auch nicht vor mich in eins reinzuarbeiten.

    Meine Frage also: Kann ich irgendwie über die Kommandozeile mit iptables einen Port nur für ein bestimmtes Programm öffnen?
    (Unter Windows kann man ja schliesslich auch Regeln, die nur für best. Programme zutreffen erstellen.)

    Schön wäre, wenn jemand den entsprechenden Befehl für zB. Port 80, der nur für Mozilla Firefox offen sein soll posten könnte.

    mfg xadian

    P.S.: Ich hab schon gelesen, dass man mit dem owner-module Ports für PIDs sperren kann. Aber ist für ein bestimmtes Programm die PID nach einem Neustart immernoch die gleiche?!

    P.P.S: Hilfreich wär auch erstmal die Info, wo ich in mienem System ne Liste aller Prozesse und Dienste herbekomm, die gerade Netzwerkverbindungen offen haben.
     
  2. Affirmation

    Affirmation Kbyte

    Registriert seit:
    16. März 2005
    Beiträge:
    152
    Verständlich.

    Das ist haarig.
    Simpler Grund: Es ist eigentlich nicht nötig. Wenn ein Service auf einem Port läuft, dann kann kein anderes Programm an diesen binden - und somit ist das eben rein technisch geschützt.

    Das Problem ist vor allem, dass iptables das nicht ohne spezielle Programme kann die quasi immer checken, welche Application offen ist und nach aussen will. Das geht mir purem Linux-Systemen nicht.

    Versuche hier vielleicht: http://l7-filter.sourceforge.net/
    (Allerdings ist der Aufwand relativ hoch im Vergleich zum Sinn - siehe auch nächsten Quote)

    Hier liegt ein Verständnisproblem vor, denke ich.
    Dein Firefox nutzt mitnichten deinen lokalen Port 80 um nach aussen zu verbinden (das könnte er ohne root-Rechte nicht einmal), er nutzt einen zufälligen Port > 30000 und wird zum Zielport 80 Kontakt aufnehmen. Demnach musst du Port 80 nicht aufhaben.
    Und ob es soviel Sinn macht Zielports für Firefox zu sperren - das mag ich mal nicht beurteilen.

    PIDs sind nie gleich. Wobei ich allerdings das Modul nicht direkt kenne um das jetzt abschliessend zu beurteilen.

    Als root:
    netstat -ap | grep "tcp\|udp"
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen