是否可以收到有关尝试阻止连接的通知?


9

我的计算机正在运行Ubuntu 10.10,我想知道是否有防火墙在某个程序试图访问Internet或连接尝试被阻止时主动通知我。我记得Windows版ZoneAlarm会提醒您尝试阻止,但是现在我已切换到Ubuntu,现在还不确定。我所有的搜索使我找到了gufw。


尽管它与拦截并不完全相同,但是如果您可以看到实时连接sudo netstat -tup -W-该-pt标志将显示每个连接的原始应用程序。要查看历史上一直使用的所有连接的报告ntop:(1)do sudo apt-get install ntop,使用启动服务sudo /etc/init.d/ntop start,然后在Web浏览器中打开localhost:3000。在“ 所有协议” >“ 流量”下,您将看到所有已建立连接的列表。不幸的是,ntop不会显示哪个应用程序启动了连接
。.– ccpizza

Answers:


2

据我所知,不幸的是,两个问题的答案都是“否”。

详细信息(但我还是要在这里简化):

当某个程序试图访问Internet时主动通知我的防火墙

  • 防火墙使用的内核网络过滤器无法在应用程序级别上正常工作,因此不能用于此目的。尽管通常可以过滤传出的连接(对于所有程序),但是很难做到,因为您不能阻止与端口80的连接(用于http-此处仅用作示例),这意味着流氓应用程序可以轻松地使用该端口进行连接。
  • 即使有可能,也将很难实施,因为允许或禁止连接(而不是像ZoneAlarm这样的“拦截”或“暂停”连接),因此您没有机会积极地允许或禁止连接即时请求。
  • 在应用程序级别上的一个选项是AppArmor(您可以在其中限制到Internet的连接),但是它对初学者并不十分友好且精细。

主动通知何时阻止了Internet的连接尝试

  • 如果您进行了配置(例如ufw,默认情况下登录到),则可以/var/log/kern.log。尽管我不知道任何此类程序,AppArmor但通过系统通知进行通知当然是可能的(因为它是apparmor-notify)。

这似乎是一个合理的解释。对于那些想要使用apparmor-notify的用户:通过apt安装它,在/etc/apparmor/notify.conf中,将用户组更改为'adm',然后将'aa-notify -p'添加到启动应用程序中。然后,您可以通过使用'sudo tcpdump -i eth0 -n -s 0 -w / foo'触发AppArmor Denied事件来测试它
彼得


2

在您的软件中心中,有一个名为fwanalog的应用程序。它声称它将分析来自已配置的基于iptables的防火墙(例如gufw)的记录的事件。

它将编写可浏览的html日志(/ var / log / fwanalog)-结果既显示为文本统计信息,又显示为饼图等。

它不能回答部分问题的“活动”报告,但可以让您查看各种连接和活动阻止事件的每日/每周/每月统计信息。

注意-如果您在路由器后面,由于大多数路由器会主动阻止连接尝试,因此您可能会收到很少的报告。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.