প্রতিটি প্রোগ্রামের জন্য ইন্টারনেট অ্যাক্সেস কীভাবে নিয়ন্ত্রণ করবেন?

কোন প্রোগ্রামটি ইন্টারনেটে সংযুক্ত হতে পারে তা নিয়ন্ত্রণ করতে আমি একটি সফ্টওয়্যার ব্যবহার করতে চাই। আমি জানি যে এই আচরণটি "ফায়ারওয়াল" শব্দের সাথে যুক্ত, তবে কিছু লিনাক্স ব্যবহারকারী যদি কেউ ব্যক্তিগত ফায়ারওয়াল দাবি করেন তবে খুব বিরক্ত হন। আমি এই জাতীয় প্রোগ্রাম দাবি করে আপনাকে বিরক্ত করতে চাই না।
আমি উইন্ডোজটিতে ব্যক্তিগত ফায়ারওয়াল প্রতিশ্রুতি "সুরক্ষিত পোর্ট" বা অন্যান্য জিনিসগুলি রাখতে চাই না। আমি দেখেছি iptablesকিন্তু এটি আমার প্রয়োজনীয়তার সাথে খাপ খায় না।

আমি এখানে একটি দুর্দান্ত উত্তর দেখেছি ( "ওয়াইন অ্যাপ্লিকেশনের জন্য কীভাবে ইন্টারনেট অ্যাক্সেস ব্লক করবেন" ) তবে এটি সেট আপ করা খুব অস্বস্তিকর।

এমন কোনও সফ্টওয়্যার রয়েছে যা প্রতিটি প্রোগ্রামের জন্য জিজ্ঞাসা করে যে এটি ইন্টারনেট অ্যাক্সেস করতে পারে?

জার্মান উবুন্টু ফোরামে একটি পার্ল স্ক্রিপ্ট রয়েছে ( গুগল অনুবাদ করে ইংরেজিতে অনুবাদ করা হয়েছে ) যা তা মনে হচ্ছে। আমি কখনই এটি চেষ্টা করেছিলাম এবং আমি স্ক্রিপ্টটি খুব কাছ থেকে দেখিনি, তবে সম্ভবত এটি আপনার পক্ষে কাজ করে। বর্ণনাটি কেবল জার্মান ভাষায় তাই আপনার একটি অনুবাদ পরিষেবা প্রয়োজন হতে পারে (গুগল অনুবাদ মত; উপরে দেখুন)।

আপনি যদি এখনও এই ধরণের অ্যাপ্লিকেশনটির সন্ধান করছেন তবে আমি বর্তমানে ঠিক সেই অ্যাপ্লিকেশনটি বিকাশ করছি: http://douaneapp.com/ https://gitlab.com/douaneapp/Douane

আমার অ্যাপ্লিকেশনটি কোনও অজানা অ্যাপ্লিকেশনকে ব্লক করেছে (অনুমোদিত অ্যাপ্লিকেশনটির নতুন সংস্করণ অবরুদ্ধ রয়েছে) এবং আপনাকে জিজ্ঞাসা করে যে আপনি এর ট্র্যাফিকের অনুমতি দিচ্ছেন বা অস্বীকার করছেন কিনা।

ওয়েবসাইটটি একবার দেখুন ;-)

আমি একটি সুবিধাজনক সমাধান পেয়েছি যা সমস্যার সমাধান করে। আপনি এমন একটি গোষ্ঠী তৈরি করেন যা কখনই ইন্টারনেট ব্যবহার করার অনুমতি দেয় না এবং এই গোষ্ঠীর সদস্য হিসাবে প্রোগ্রাম শুরু করতে পারে না।

1. একটি গ্রুপ তৈরি করুন no-internet। এই গ্রুপে যোগদান করবেন না

   sudo addgroup no-internet
   

2. আইপটিবেলে একটি বিধি যুক্ত করুন যা গ্রুপটি অন্তর্ভুক্ত সমস্ত প্রক্রিয়াগুলিকে no-internetনেটওয়ার্ক ব্যবহার ip6tablesথেকে বিরত রাখে ( আইপিভি 6 ট্র্যাফিক প্রতিরোধেও ব্যবহার করুন )

   sudo iptables -A OUTPUT -m owner --gid-owner no-internet -j DROP
   

3. এর sudo -g no-internet YOURCOMMANDপরিবর্তে কার্যকর করুন YOURCOMMAND।

আপনি সহজেই একটি মোড়ক স্ক্রিপ্ট লিখতে পারেন যা আপনার জন্য sudo ব্যবহার করে। আপনি যোগ করে পাসওয়ার্ড প্রম্পট থেকে মুক্তি পেতে পারেন

%sudo     ALL=(:no-internet)      NOPASSWD: ALL

বা, এর সাথে কিছু মিল sudo visudo

ফায়ারওয়াল নিয়মগুলি অবিচল রাখতে iptables-saveএবং ব্যবহার করুন iptables-restore।

উবুন্টুতে ইতিমধ্যে একটি ফায়ারওয়াল রয়েছে ufw, তবে এটি ডিফল্টরূপে অক্ষম। আপনি এটি কমান্ড লাইন বা এর সম্মুখভাগ, গুফডাব্লু দ্বারা সক্ষম এবং ব্যবহার করতে পারেন যা উবুন্টু সফ্টওয়্যার কেন্দ্র থেকে সরাসরি ইনস্টলযোগ্য।

আপনার যদি কোনও নির্দিষ্ট অ্যাপ্লিকেশনটিতে ইন্টারনেট অ্যাক্সেস ব্লক করতে হয়, আপনি লেওপার্ডফ্লোয়ার চেষ্টা করতে পারেন , যা এখনও বিটা সংস্করণে রয়েছে এবং এটি উবুন্টু সফ্টওয়্যার সেন্টারে উপলভ্য নয়:

অন্য ব্যবহারকারীর অধীনে একটি প্রোগ্রাম চালানো আপনার ব্যবহারকারীর জন্য কনফিগার ফাইল ব্যবহার করবে and

এখানে এমন একটি সমাধান রয়েছে যার জন্য ফায়ারওয়াল বিধিগুলি সংশোধন করার প্রয়োজন নেই এবং sudoপরিবর্তিত পরিবেশ সহ একই ব্যবহারকারীর (মাধ্যমে ) my_userচলবে , যেখানে আপনার ব্যবহারকারী এবং আপনি যে অ্যাপটি চালাতে চান তা হ'ল my_app:

# run app without access to internet
sudo unshare -n sudo -u my_user my_app

আরও তথ্যের জন্য দেখুন man unshareএবং এই উত্তর ।

লিনাক্স জিইউআই ফায়ারওয়াল

যদি আপনি জিইআইআই ফায়ারওয়ালের সন্ধান করেন তবে আমি ওপেনসিনিচের সাথে ভাল ফলাফল পেয়েছি - এটি এখনও উবুন্টু রেপোসে নেই এবং আমি এটিকে উত্পাদন- স্তরেরও বলব না, তবে গিথুব পৃষ্ঠা থেকে নির্মিত পদক্ষেপগুলি অনুসরণ করা আমার পক্ষে কাজ করেছে।

@ পিপুসি: আমি সত্যই কামনা করি লোকেরা খারাপ তথ্য ব্যবহার করবে না এবং দরকারী তথ্য না রাখবে। আইপি টেবিলগুলি এটিকে করার অনুমতি দেয়, তাই আমি খুব কমই এটিকে "মূর্খতা" বিবেচনা করব। ব্যবহারের কেস না বুঝে কেবল "না" বলা কিছুটা সংকীর্ণ মনের। http://www.debian-administration.org/article/120/Application_level_firewalling

বডি.জাজেন সম্পাদনা করুন

দ্রষ্টব্য - এই বিকল্পটি ২০০৫ সালে আইপিটিবলগুলি থেকে সরিয়ে নেওয়া হয়েছিল, উত্তরটি পোস্ট করা আগে 8 বছর আগে

দেখুন - http://www.spinics.net/lists/netfilter/msg49716.html

প্রতিশ্রুতিবদ্ধ 34b4a4a624bafe089107966a6c56d2a1aca026d4 লেখক: ক্রিস্টোফ হেলউইগ তারিখ: রোব আগস্ট 14 17:33:59 2005 -0700

[নেটফিল্টার]: ipt {, 6} মালিকের টাস্কলিস্ট_লক অপব্যবহার সরান

সিএমডি / সিড / পিডের মিলটি ছড়িয়ে দিন যেহেতু এটির অপরিবর্তনীয় ভাঙা এবং টাস্কলিস্ট_লকে পরিবর্তনগুলি লক করার পথে দাঁড়িয়ে stands

Signed-off-by: Christoph Hellwig <hch@xxxxxx>
Signed-off-by: Patrick McHardy <kaber@xxxxxxxxx>
Signed-off-by: David S. Miller <davem@xxxxxxxxxxxxx>

অন্য বিকল্প firejail । এটি অ্যাপ্লিকেশনটি নেটওয়ার্কটি দেখতে পারে যদি আপনি নিয়ন্ত্রণ করেন এমন স্যান্ডবক্সের মধ্যে অ্যাপ্লিকেশনটি চালায়:

firejail --net=none firefox

এই কমান্ডটি ইন্টারনেট অ্যাক্সেস ছাড়াই ফায়ারফক্স ব্রাউজার শুরু করবে। নোট করুন যে উবুন্টু রেপোতে ফায়ার জেল বিতরণ পুরানো - ফায়ারজেল হোম পৃষ্ঠা থেকে এর সর্বশেষতম এলটিএস সংস্করণটি ডাউনলোড করুন।

আমি এখানে পোস্ট করা সমাধানটি একটি ভাল হিসাবে খুঁজে পেয়েছি । এটিতে এমন একটি ব্যবহারকারী-গোষ্ঠী তৈরি করা রয়েছে যার জন্য ইন্টারনেট অ্যাক্সেসের অনুমতি রয়েছে এবং কেবলমাত্র এই গোষ্ঠীর জন্য অ্যাক্সেসের অনুমতি দেওয়ার জন্য ফায়ারওয়াল বিধিগুলি স্থাপন করা। কোনও অ্যাপ্লিকেশনটির জন্য ইন্টারনেট অ্যাক্সেসের একমাত্র উপায় যদি এটি এই দলের সদস্য দ্বারা চালিত হয়। আপনি এই গোষ্ঠীর অধীনে একটি শেল খোলার মাধ্যমে প্রোগ্রাম পরিচালনা করতে পারেন sudo -g internet -s।

আমি উপরে যে লিঙ্কটি লিঙ্ক করেছি তার মধ্যে পুনরায় কাটাতে:

1. শেলটিতে নিম্নলিখিতটি লিখে "ইন্টারনেট" গ্রুপ তৈরি করুন: sudo groupadd internet

2. নিশ্চিত হয়ে নিন যে নীচের স্ক্রিপ্টটি ব্যবহার করবেন এমন ব্যবহারকারীকে sudoগ্রুপে যুক্ত করা হয়েছে /etc/group। যদি আপনি এই ফাইলটি সংশোধন করে শেষ করেন তবে নীচের স্ক্রিপ্টটি কাজ করার আগে আপনাকে লগ আউট করতে হবে এবং ফিরে আসতে হবে।

3. নিম্নলিখিতগুলি সহ একটি স্ক্রিপ্ট তৈরি করুন এবং এটি চালান:

   #!/bin/sh
   # Firewall apps - only allow apps run from "internet" group to run
   
   # clear previous rules
   sudo iptables -F
   
   # accept packets for internet group
   sudo iptables -A OUTPUT -p tcp -m owner --gid-owner internet -j ACCEPT
   
   # also allow local connections
   sudo iptables -A OUTPUT -p tcp -d 127.0.0.1 -j ACCEPT
   sudo iptables -A OUTPUT -p tcp -d 192.168.0.1/24 -j ACCEPT
   
   # reject packets for other users
   sudo iptables -A OUTPUT -p tcp -j REJECT
   
   # open a shell with internet access
   sudo -g internet -s
   

4. উপরের স্ক্রিপ্টটি চালিয়ে আপনার কাছে একটি শেল থাকবে যাতে আপনি ইন্টারনেট অ্যাক্সেস সহ অ্যাপ্লিকেশন চালাতে পারেন।

নোট করুন যে এই স্ক্রিপ্টটি আপনার ফায়ারওয়াল নিয়মগুলি সংরক্ষণ এবং পুনরুদ্ধার করতে কিছুই করে না। আপনি ব্যবহার করতে স্ক্রিপ্ট পরিবর্তন করতে চাইতে পারেন iptables-saveএবং iptables-restoreশেল কমান্ড।

আরও ভাল বা আরও খারাপের জন্য, লিনাক্স একটি ভিন্ন পদ্ধতির ব্যবহার করে। এই কার্যকারিতাটি সরবরাহ করার জন্য কোনও সাধারণ গ্রাফিকাল ইন্টারফেস নেই। ইন্টারনেটে এই বিষয় নিয়ে অনেক আলোচনা রয়েছে এবং আপনি গুগল অনুসন্ধান করলে আপনি আকর্ষণীয় আলোচনা সন্ধান করতে পারেন। বিতর্কটি আকর্ষণীয় হলেও, আজ অবধি এই কার্যকারিতাটি লিখতে এবং বজায় রাখতে চাইছেন এমন কোনও উত্সর্গীকৃত প্রোগ্রামার নেই।

লিনাক্সে এই কার্যকারিতাটি সরবরাহ করে এমন সরঞ্জামগুলি হলেন অ্যাপ্পর্মার, সেলিনাক্স এবং টময়ো o

এই সরঞ্জামগুলির কোনওটিই শেখার জন্য অত্যধিক সহজ নয় এবং এর সকলের সুবিধা এবং অসুবিধা রয়েছে। ব্যক্তিগতভাবে আমি সেলইনাক্সকে পছন্দ করি, যদিও সেলইনাক্সের স্টিপার লার্নিং কার্ভ রয়েছে।

দেখা:

http://www.linuxbsdos.com/2011/12/06/3-application-level-firewalls-for-linux-distributions/

একটি অ্যাপ্লিকেশন ছিল যা ইতিমধ্যে রেফারেন্স করা হয়েছে, চিতাবাঘ। আমি স্থিতি / রক্ষণাবেক্ষণ সম্পর্কে নিশ্চিত নই।

এটি কার্নেল সংস্করণ ২.6.২৪ পর্যন্ত আইপটেবলগুলিতে ছিল যদি আপনি একটি ২.x - ২.4.২৪ মেশিন চালাচ্ছেন এবং আপনার কার্নেলের সাথে এটি মেনে চলছে তবে আপনি এটি করতে পারেন। কোনও কারণে তারা এটিকে বাইরে নিয়ে গেছে, তাই এটি মাইক্রোসফ্ট নয়। http://cateee.net/lkddb/web-lkddb/IP_NF_MATCH_OWNER.html

চিতা ফুলের চেষ্টা করুন । এটিতে একটি জিইউআই এবং প্রতি অ্যাপ্লিকেশন বিধিনিষেধ রয়েছে।

না, এটা সম্ভব নয়। এটি ফায়ারওয়ালের প্রচলিত সংজ্ঞার অংশও নয়। এটি এমন একটি বিষয় যা মাইক্রোসফ্ট মোটামুটি সম্প্রতি তাদের মূলত ভাঙা ওএস সুরক্ষা সমস্যাগুলি সম্পর্কে কাগজ লেখার প্রয়াসে উপস্থিত হয়েছিল। লিনাক্স সম্প্রদায়ের মধ্যে এটি নির্বোধ এবং অকার্যকর বলে বিবেচিত হয় কারণ একটি প্রোগ্রাম যা অনুমোদিত নয় কেবল সেভাবেই অন্য প্রোগ্রাম চালাতে পারে এবং সেভাবে অ্যাক্সেস অর্জন করতে পারে।

আপনি যখন কোনও প্রোগ্রাম নেটওয়ার্ক চালিত করার সময় নেটওয়ার্কে কী করছে তা যদি আপনি পছন্দ করেন না, তবে সেই প্রোগ্রামটি চালাবেন না।