Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В рамках проекта OpenSnitch,  динамического межсетевого экра..."	+/–
Сообщение от opennews (?), 30-Апр-18, 12:18
Предложены для тестирования наработки  проекта OpenSnitch (https://www.opensnitch.io/), в рамках которого развивается открытый аналог проприетарного динамического межсетевого экрана Little Snitch (https://www.obdev.at/products/littlesnitch/index.html). Приложение позволяет в интерактивном режиме контролировать сетевую активность пользовательских приложений и  блокировать нежелательный сетевой трафик.  Код проекта написан на языке Go  (GUI на Python и PyQt5) и распространяется (https://github.com/evilsocket/opensnitch) под лицензией GPLv3. При обнаружении попыток установки приложением сетевых соединений, не подпадающих под ранее установленные разрешения, OpenSnitch выводит пользователю диалог с предложением принять решение о продолжении сетевой операции или блокирования сетевой активности. Программа позволяет создавать достаточно гибкие правила доступа,  позволяющие учитывать приложения, пользователей, целевые хосты и сетевые порты. Разрешения могут создаваться как на постоянной основе, так и ограничиваться только текущим процессом или сеансом работы пользователя. OpenSnitch также позволяет вести статистку сетевой активности приложений и выполненных блокировок. В основе OpenSnitch лежит написанный на языке Go фоновый процесс opensnitchd, который выполняется с правами root и взаимодействует с очередью пакетов через Netfilter (libnetfilter-queue), вносит изменения в правила iptables и отслеживает сетевой трафик (libpcap). Лог работы процесса сохраняется в файле /var/log/opensnitchd.log, а база правил фильтрации размещается в  /etc/opensnitchd/rules, правила хранятся в формате  JSON.  Отдельно в непривилегированном режиме выполняется интерфейс пользователя, который написан на языке Python 3 с использованием PyQt5. Интерфейс взаимодействует с управляющим процессом через unix-сокет с использованием протокола gRPC. URL: https://github.com/evilsocket/opensnitch Новость: https://www.opennet.ru/opennews/art.shtml?num=48517
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	+/–
Сообщение от Афаф (?), 30-Апр-18, 12:18
Я правильно понимаю что этой штукой можно пользоваться в качестве fiddler? какие аналоги fiddler можете посоветовать?
Ответить | Правка | Наверх | Cообщить модератору

	28. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	+/–
	Сообщение от Fenume (?), 30-Апр-18, 15:59
	Charles
	Ответить | Правка | Наверх | Cообщить модератору

	31. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	–3 +/–
	Сообщение от kiwinix (?), 30-Апр-18, 17:36
	wireshark. Правда придется 1 раз разобраться.. А так там есть фильтр всего что он ловит.  Пишешь туда "https" и все. Кажись ловит https даже из хрома. Я не помню уже
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	108. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	+/–
	Сообщение от Аноним (-), 02-Май-18, 11:21
	> Кажись ловит https даже из хрома. Я не помню уже Из чего угодно ловит. Если ключи дашь.
	Ответить | Правка | Наверх | Cообщить модератору

3. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	+1 +/–
Сообщение от A.Stahl (ok), 30-Апр-18, 12:33
>Snitch Название-то какое... мерзкое.
Ответить | Правка | Наверх | Cообщить модератору

	6. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	+5 +/–
	Сообщение от ssh (ok), 30-Апр-18, 13:04
	Лучше стучать, чем перестукиваться! (с) С другой стороны, название напрямую объясняет суть приложения, это редкость.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	+/–
	Сообщение от A.Stahl (ok), 30-Апр-18, 17:46
	Интересно, а есть ли у этого слова позитивный оттенок. Мне кажется что оно имеет омерзительный смысл всегда и везде, но я не специалист, не лингвист. Я это слово слышал исключительно в смысле "крыса", но никогда в хорошем смысле если таковой имеется.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	+6 +/–
	Сообщение от Аноним (-), 30-Апр-18, 18:27
	Есть. В Хогвартсе.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	+1 +/–
	Сообщение от A.Stahl (ok), 30-Апр-18, 19:07
	А?
	Ответить | Правка | Наверх | Cообщить модератору

	63. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 01:21
	https://en.wikipedia.org/wiki/Quidditch#Game_progression
	Ответить | Правка | Наверх | Cообщить модератору

5. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	–1 +/–
Сообщение от 33333333 (?), 30-Апр-18, 12:57
если silent mode будет нормально работать, то круто да, а счас мне пока что лень такое иметь в линуксе.
Ответить | Правка | Наверх | Cообщить модератору

	29. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	+4 +/–
	Сообщение от O_o (?), 30-Апр-18, 17:03
	Если вам нужен silent mode -- настройте iptables и радуйтесь.
	Ответить | Правка | Наверх | Cообщить модератору

	109. "В рамках проекта OpenSnitch,  динамического межсетевого экра..."	–2 +/–
	Сообщение от Аноним (-), 02-Май-18, 11:34
	> Если вам нужен silent mode -- настройте iptables и радуйтесь. Лучше контейнеры, канители меньше. Например вообще не настраивать рабочую сеть в дефолтном неймспейсе и явно вгонять в недефолтный тех кому сеть вообще нужна. Дешево и сердито. И обойти это для программы довольно проблематично. Ну то-есть если программа запускается от рута и притащит искусственный интеллект который ей сеть настроит - она это конечно обойдет. Но такие программы мне не попадались, да и под рутом я запускать программы не люблю. А CAP_NET_ADMIN на дороге все же не валяется.
	Ответить | Правка | Наверх | Cообщить модератору

7. "В рамках проекта OpenSnitch развивается динамический межсете..."	–3 +/–
Сообщение от Аноним (7), 30-Апр-18, 13:21
Выглядит вкусно. Надо пробовать.
Ответить | Правка | Наверх | Cообщить модератору

	16. "В рамках проекта OpenSnitch развивается динамический межсете..."	+9 +/–
	Сообщение от Crazy Alex (ok), 30-Апр-18, 14:02
	Кушайте да не обляпайтесь... Вот уж дурацкая формулировка - "вкусно"
	Ответить | Правка | Наверх | Cообщить модератору

	22. "В рамках проекта OpenSnitch развивается динамический межсете..."	+1 +/–
	Сообщение от Анонец (?), 30-Апр-18, 14:39
	Я тоже не понимаю. У немцев растпространено про технологии или технику говорить "sexy". Изврещенцы долбаные!
	Ответить | Правка | Наверх | Cообщить модератору

	23. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 30-Апр-18, 14:54
	У аудиофилов всё ещё сложнее. Например "контрабас звучит угловато"
	Ответить | Правка | Наверх | Cообщить модератору

	24. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 30-Апр-18, 15:01
	или "терпкий колорит старинных народных ладов"
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	44. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 30-Апр-18, 19:38
	Вероятно, всё это из-за голода, ведь голод не тётка?
	Ответить | Правка | Наверх | Cообщить модератору

	51. "В рамках проекта OpenSnitch развивается динамический межсете..."	+2 +/–
	Сообщение от Ordu (ok), 30-Апр-18, 21:58
	Нет, это от синестезии. Это такая странность, которая у некоторых случается в запущенном варианте, у большинства же она чуть ли не на подпороговом уровне работает. Нейросетки -- они такие: дёргаешь один вход, а уровни возбуждения меняются чуть ли не на всех нейронах.
	Ответить | Правка | Наверх | Cообщить модератору

	111. "В рамках проекта OpenSnitch развивается динамический межсете..."	–1 +/–
	Сообщение от Аноним (-), 02-Май-18, 12:23
	> Вероятно, всё это из-за голода, ведь голод не тётка? Голод не тетка - он мужского рода.
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	117. "В рамках проекта OpenSnitch развивается динамический межсете..."	+1 +/–
	Сообщение от Аноним (-), 02-Май-18, 13:53
	автор коммента писал про тётку, не про тетку
	Ответить | Правка | Наверх | Cообщить модератору

	121. "В рамках проекта OpenSnitch развивается динамический межсете..."	–1 +/–
	Сообщение от Аноним (-), 02-Май-18, 15:02
	> автор коммента писал про тётку, не про тетку Ну тогда и предложение надо было начинать с заглавной буквы и заканчивать точкой.
	Ответить | Правка | Наверх | Cообщить модератору

	73. "В рамках проекта OpenSnitch развивается динамический межсете..."	–1 +/–
	Сообщение от Аноним (-), 01-Май-18, 08:42
	Вот именно: говорить "полово(е)(я)" о технике -- это настоящие извращенцы. Вот только получается, что они её отыметь хотят, а вы -- сожрать. Что лучше?
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	100. "В рамках проекта OpenSnitch развивается динамический межсете..."	+1 +/–
	Сообщение от Аноним (-), 01-Май-18, 16:30
	Пока ещё нет. Нужно переписать на С и опакетить.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

8. "В рамках проекта OpenSnitch развивается динамический межсете..."	–8 +/–
Сообщение от DmA (??), 30-Апр-18, 13:30
нужен такой фаревол, который сканирует адресную строку браузера и разрешает коннекты и днс запросы только к тем адресам, которые ввёл пользователь!
Ответить | Правка | Наверх | Cообщить модератору

	9. "В рамках проекта OpenSnitch развивается динамический межсете..."	+5 +/–
	Сообщение от SysA (?), 30-Апр-18, 13:42
	> нужен такой фаревол, который сканирует адресную строку браузера и разрешает коннекты и > днс запросы только к тем адресам, которые ввёл пользователь! Ты хоть представляешь себе, как выглядит современная веб-страничка?!.. :) Да там сотня-полторы ссылок на всякие CDNы и иже с ними... У тебя тогда почти ничего работать не будет!
	Ответить | Правка | Наверх | Cообщить модератору

	10. "В рамках проекта OpenSnitch развивается динамический межсете..."	–3 +/–
	Сообщение от DmA (??), 30-Апр-18, 13:45
	Не фиг тянуть контент с третьих сайтов- там в основном реклама и слежка!
	Ответить | Правка | Наверх | Cообщить модератору

	13. "В рамках проекта OpenSnitch развивается динамический межсете..."	–1 +/–
	Сообщение от Аноним (-), 30-Апр-18, 13:53
	ваши бы слова да нашим братьям меньшим в уши.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "В рамках проекта OpenSnitch развивается динамический межсете..."	+3 +/–
	Сообщение от Andrey Mitrofanov (?), 30-Апр-18, 14:00
	> Не фиг тянуть контент с третьих сайтов- там в основном реклама и > слежка! Ставишь RP https://requestpolicycontinued.github.io/ , например, или какой ни-то uMatrix или как там , в нём включаешь по умолчанию не ходить никуда, кроме домена страницы и... готовишься узнавать о своих самых обчных и привычных сайтах типа опеннета много "неосновного".  Делов-то. Правда, исследователи "интернетов" обнаруживают всё новые путя, которыми разработчики броузеров "отдают" тебя своим друзьям-монетизаторам.  Следить за Новостями тоже надо.  Половина HTTP, udp-websocket-ы, css-програмляние по тюрингу, ... ... ... Гугль, Микрософт, Фейсбук работают.  АНБ, Моссад, ZOG, рептилоиды довольны.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	46. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 30-Апр-18, 20:21
	Направление развития выбрано неверно. Ну, может, следующая цыливизация... )
	Ответить | Правка | Наверх | Cообщить модератору

	74. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 08:46
	> Правда, исследователи "интернетов" обнаруживают всё новые путя, которыми разработчики > броузеров "отдают" тебя своим друзьям-монетизаторам.  Следить за Новостями тоже надо. >  Половина HTTP, udp-websocket-ы, css-програмляние по тюрингу, ... ... ... Гугль, > Микрософт, Фейсбук работают.  АНБ, Моссад, ZOG, рептилоиды довольны. А тем, кто не доволен, советую бороться за отмену государства. Оное отменить нельзя, зато оно само отомрёт за ненадобностью при полной победе коммунизма. А пока вас будут иметь описанные Андрюшенькой конторки, да.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	85. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Andrey Mitrofanov (?), 01-Май-18, 11:55
	>>.. ... ... Гугль, >> Микрософт, Фейсбук работают.  АНБ, Моссад, ZOG, рептилоиды довольны. > А тем, кто не доволен, советую бороться за отмену государства. Из перечисленного мной к "государству" отосятся хоть как-то анб и моссад. "--Пал Андреич, Вы антисемит!?" > Оное отменить > А пока вас будут иметь описанные Андрюшенькой конторки, да.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 30-Апр-18, 15:30
	Кое-что можно смягчить через Decentraleyes и некоторые китайские поделки-аддоны, они там примерно тем же озабочены, только всерьез и надолго. :)
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	103. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Q2W (?), 01-Май-18, 19:31
	Дополнение uMatrix делает то же самое, но средствами браузера. И у него куча пользователей, которые сами настраивают правила про эти CDN'ы. Сам пользуюсь и не испытываю проблем. Но браузеру доверять не очень хочется. Лучше бы это файрвол делал.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	27. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 30-Апр-18, 15:43
	есть uMatrix, замечательный фаервол для браузера и выполняет как раз эту функцию
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	87. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от DmA (??), 01-Май-18, 12:55
	uMatrix для браузера конечно хорош!Остальные приложения можно заблокировать с помощью брандмауера, но если разрешены днс запросы для браузера,то и остальные приложения шлют от себя запросы к днс серверу, что я считаю не очень хорошо
	Ответить | Правка | Наверх | Cообщить модератору

	47. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Нету (?), 30-Апр-18, 20:30
	pluckeye так может, но только вкупе с браузерным расширением
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
Сообщение от Аноним (-), 30-Апр-18, 13:47
Когда я был маленький и глупый, мне тоже нравились такие штуки. Outpost Firewall 1.0 долго пользовался. Но то были времена диалапа, когда не было принято, чтобы каждая программа лезла в сеть, и уже тогда количество вопросов утомляло.
Ответить | Правка | Наверх | Cообщить модератору

	12. "В рамках проекта OpenSnitch развивается динамический межсете..."	+2 +/–
	Сообщение от DmA (??), 30-Апр-18, 13:49
	> Когда я был маленький и глупый, мне тоже нравились такие штуки. Outpost > Firewall 1.0 долго пользовался. Но то были времена диалапа, когда не > было принято, чтобы каждая программа лезла в сеть, и уже тогда > количество вопросов утомляло. А что изменилось: поглупели или стали слишком старым, чтобы задуматься об безопасности и смерти?
	Ответить | Правка | Наверх | Cообщить модератору

	57. "В рамках проекта OpenSnitch развивается динамический межсете..."	+1 +/–
	Сообщение от Аноним (-), 30-Апр-18, 23:09
	Поумнел и понял, что к безопасности это никакого отношения не имеет.
	Ответить | Правка | Наверх | Cообщить модератору

	75. "В рамках проекта OpenSnitch развивается динамический межсете..."	–2 +/–
	Сообщение от Аноним (-), 01-Май-18, 08:47
	> А что изменилось: поглупели или стали слишком старым, чтобы задуматься об безопасности > и смерти? Он стал большим и с раздолбанными отверстиями, вестимо, поэтому ему скрывать (уже) нечего.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	17. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Crazy Alex (ok), 30-Апр-18, 14:03
	Уходите с винды, в линуксе с этим проще
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	55. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 30-Апр-18, 22:55
	Так давно уже. Но вот и сюда эту бестолковину зачем-то пытаются притащить в очередной раз.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "В рамках проекта OpenSnitch развивается динамический межсете..."	+4 +/–
	Сообщение от Аноним84701 (ok), 30-Апр-18, 14:21
	> Когда я был маленький и глупый, мне тоже нравились такие штуки. Outpost Firewall 1.0 долго пользовался. Но то были времена диалапа, когда не было принято, чтобы каждая программа лезла в сеть, и уже тогда  количество вопросов утомляло. Однако работало оно тогда банальным инжектом своей DLL в процесс и хуками на виндовые API в либах процесса (если мне не изменяет память – подменяя адреса в  таблице экспортируемых адресов загруженных системных DLL) и  обходилось тривиальнейшим образом –  парсим экспорты DLL самостоятельно и получаем "реальные" адреса функций, вызов которых совершенно не ловится "Огнестеной". Это если захотелось развлечься, т.к. можно просто вызвать штатный браузер с нужными параметарми+URL или инжектить в него свою DLLку для слива инфы. В общем, ловило оно (и вся подобная мишура, типа ZoneAlarm) только тех, кто не особо прятался ;-)
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	39. "В рамках проекта OpenSnitch развивается динамический межсете..."	+1 +/–
	Сообщение от Омномним (?), 30-Апр-18, 18:15
	Откуда инфа? Насколько я помню, брандмауэр использовал штатный виндовый механизм pluggable protocol (не помню, как точно называлось), т.е. ставил свой драйвер, реализующий сокеты. Этот их драйвер-перехватчик после фильтрации перенаправлял вызовы штатному драйверу. Это, кстати, имело некоторые побочные эффекты. В винде была возможность вызывать ReadFile с хэндлом сокета. Не помню, это официально разрешалось или это была недокументированная возможность. Так вот, после установки Outpost Firewall это больше не работало.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "В рамках проекта OpenSnitch развивается динамический межсете..."	+2 +/–
	Сообщение от Аноним84701 (ok), 30-Апр-18, 19:47
	> Откуда инфа? Насколько я помню, брандмауэр использовал штатный виндовый механизм pluggable > protocol (не помню, как точно называлось), т.е. ставил свой драйвер, реализующий > сокеты. Этот их драйвер-перехватчик после фильтрации перенаправлял вызовы штатному драйверу. От Оли. Обходил прямо в ней ;) Однако, вполне допускаю за давностью лет (~2003 +- год), что это все же вполне могла быть и "грозная" защита от инжекта кода в процесс из белого списка (т.е. браузер). Еще оно когда-то ловилось на кастомных путях в импортах (можно было "импортировать" DLLку из интернета, прописав ее адрес) но это пофиксили достаточно быстро :) А вообще, еще году в ~2008 не все из топа "суперзащитников" перекрывали не слишком тривиальные пути инжектов – например, OpenProcess/WriteProcessMemory/CreateRemoteThread в чужой процесс прилежно отлавливали, однако вполне можно было делать хитрые финты ушами типа SuspendThread, SetThreadContext (REG1 = Content1, REG2 = ..., IP = "mov  dword ptr [REG1], REG2); JMP-2", ResumeThread. Благо найти нужную последовательность пары опкодов в какой нибудь системной DLLке абсолютно не проблема. Еще, абсолютно не отлавливались (в том числе и антивирями – возможно, разве что в режиме "параноик") разные манипуляции с собственным чайлд-процессом. Вангую, что из-за распространененности всяких разных защит от "крякеров". Чему все киддисы и не только они, были очень рады, т.к. это позволяло достаточно просто расшифровывать (и перезаписывать) экзешники прямо в памяти (причем, даже c помощью VB6), уже после проверки антивирем при запуске. Метода (RunPE,http://web.archive.org/web/20120328114901/http://www.securit... ) известна с 2004, широко применялась с конца 2005, имеет весьма специфичную последовательность АПИ вызовов, но вариации с использованием NtFooBar API прокатывали на всех антивирях и прочих защитниках даже десять лет спустя. > Это, кстати, имело некоторые побочные эффекты. В винде была возможность вызывать ReadFile > с хэндлом сокета. Не помню, это официально разрешалось или это была недокументированная возможность. Обращение к наружному серверу Webdav  (через Create/ReadFile и UNC путь) прокатывало как минимум до ~2015 года (это я в последний раз тыкал все  палочкой в Comodo, Outpost и Kaspersky). У касперского еще  можно быле через виндовы DNS сервис "сливать инфу". Тыкал чисто из любопыства, на демо-триал-версиях. Вообще, если интересно, можно заглянуть сюда: http://www.matousec.com/projects/proactive-security-challeng... даже "топы топов" там ловили далеко не все: http://www.matousec.com/projects/proactive-security-challeng... ЧСХ: cама страничка была доступна как минимум с ~ 2006, тесты с сорцами можно было скачать тоже достаточно давно (да и нет там ничего излишне мудреного), но закрывать дыры никто из торговцев змеиным маслом ^W^W "сикурностью" особо не стремился.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "В рамках проекта OpenSnitch развивается динамический межсете..."	+1 +/–
	Сообщение от Омномним (?), 30-Апр-18, 21:27
	1)Возможно, мы недопоняли друг друга. Я имел в виду старый добрый Outpost Firewall, еще когда его не превратили в комбайн с антивирусом и проактивной защитой. Не думаю, что в функции файервола входила защита от инжекта и прочие вещи, которыми должна заниматься ОС или антивирус. 2)Я говорил не о Create/ReadFile с UNC путями до наружных серверов, а     SOCKET sock = socket(AF_INET, ...);     ReadFile(sock, ...);
	Ответить | Правка | Наверх | Cообщить модератору

	61. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним84701 (ok), 01-Май-18, 00:15
	> 1)Возможно, мы недопоняли друг друга. Я имел в виду старый добрый Outpost > Firewall, еще когда его не превратили в комбайн с антивирусом и > проактивной защитой. Не думаю, что в функции файервола входила защита от > инжекта и прочие вещи, которыми должна заниматься ОС или антивирус. Погуглил, ресурс с обсуждением к сожалению "канул в Лету". Точно могу сказать, что было это где-то в 2002 +- год, тема была "обход" файерволов и Аутпост уже тогда загружала свою DLL в память каждого запущенного процесса, манипулируя таблицы экспортов. И ЕМНИП, оно (да и ZA) уже в ~2001 позиционировалось как "защита от злобных хакеров и троянов": https://web.archive.org/web/20011024152805/http://outpostfir.../ > It gives peace of mind from any threats by Cookies, Ads, E-mail viruses, Backdoors, Spyware, Crackers, Adware and virtually every other Internet danger. https://web.archive.org/web/20020223233858/http://www.outpos... > It gives peace of mind from any threats by Cookies, Ads, E-mail viruses, Backdoors, Spyware, Crackers, Adware and virtually every other Internet danger. This is the first firewall that supports plug-ins so its capabilities can easily be extended. > Version - 1.0.1125 Release Candidate 1 Т.е. еще до того, как маркетологи решили обозвать все это "проактивной защитой" ;)
	Ответить | Правка | Наверх | Cообщить модератору

	113. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 02-Май-18, 12:30
	>     SOCKET sock = socket(AF_INET, ...); Можешь вгрузить LD_PRELOAD'ом либу которая на это -1 возвращает, если делать нефиг. Это своеобразный способ обломить всяким умникам сеть, но он работает. И мало кто ожидает такое западло.
	Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

14. "В рамках проекта OpenSnitch развивается динамический межсете..."	–3 +/–
Сообщение от Аноним (-), 30-Апр-18, 13:57
Неужели. 2018. Очередная попытка сделать нормальный фаерволл для приложений.
Ответить | Правка | Наверх | Cообщить модератору

	19. "В рамках проекта OpenSnitch развивается динамический межсете..."	–1 +/–
	Сообщение от Аноним (-), 30-Апр-18, 14:06
	Там в заголовке всплывающего диалогового окна написано "opensnitch-qt v1.0.0b" о каком "нолрмальном" фаерволе ты говоришь? Он сделан мутантами для мутантов которым "и так сойдет".
	Ответить | Правка | Наверх | Cообщить модератору

	32. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от kiwinix (?), 30-Апр-18, 17:41
	Так все делается. Скажи спасибо что не на php написано..
	Ответить | Правка | Наверх | Cообщить модератору

	43. "В рамках проекта OpenSnitch развивается динамический межсете..."	+2 +/–
	Сообщение от angra (ok), 30-Апр-18, 19:11
	Возможность фильтровать по pid была в iptables лет 15 назад, но была настолько ненужной, что ее давно выкинули. С тех пор появилось несколько вариантов контейнеров, которые решают задачу изоляции приложения куда лучше. Но некоторые всё никак не могут преодолеть синдром утенка.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	53. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 30-Апр-18, 22:28
	Ага, ну будем пилить изоляцию между процессами, а будем пилить контейнеры, которые не для безопасности(со слов разработчиков), а "удобства" управления. И при этом находятся одаренные, которые их используют для "изоляции"
	Ответить | Правка | Наверх | Cообщить модератору

	64. "В рамках проекта OpenSnitch развивается динамический межсете..."	–2 +/–
	Сообщение от angra (ok), 01-Май-18, 01:52
	Контейнеры и разработчики бывают разные. Например есть openvz который уже много лет хостерами используется как раз для изоляции. И в отличии от какого-нибудь Xen об уязвимостях в нем слышно редко. Также стоило бы понимать, что есть изоляция от действий приложения и изоляция от действий человека. Это две большие разницы. С первым отлично справится и docker.
	Ответить | Правка | Наверх | Cообщить модератору

	107. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 02-Май-18, 11:00
	> Ага, ну будем пилить изоляцию между процессами, а будем пилить контейнеры, которые > не для безопасности(со слов разработчиков), а "удобства" управления. И таки кроме всего прочего они весьма удобно могут выпустить в сеть, или наоборот заизолировать, те или иные программы. Или даже выпустить программу в какую-то очень отдельную сеть, специально для нее созданную. И, кстати, это может например справиться и с ситуацией когда фаер еще не инициализирован или его правила почему-то не вгрузились. Например, прога может не получить сеть пока все что связано с настройкой сети не отработает. И хрен прога это оспорит.
	Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

	54. "В рамках проекта OpenSnitch развивается динамический межсете..."	+4 +/–
	Сообщение от Титан мысли (?), 30-Апр-18, 22:33
	Т.е. ты предлагаешь пихать каждое приложение в контейнер, вместо того чтобы один раз нормально настроить файрвол? Да ты просто гений.
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

	56. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 30-Апр-18, 22:59
	Можешь не пихать в контейнер, достаточно запихать в cgroup. Одноимённый модуль в iptables в наличии.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "В рамках проекта OpenSnitch развивается динамический межсете..."	+4 +/–
	Сообщение от angra (ok), 01-Май-18, 01:58
	Я вот как-то за пару десятилетий не могу припомнить случая, когда мне бы был нужен фаервол уровня приложений. Так что для меня загадка, что ты там хочешь нормально настроить и чем не устраивает обычный фаервол. Однако я понимаю, что если действия какого-то приложения мне будут не по нраву, то я не захочу ограничиваться только фаерволом, а предпочту полноценную песочницу. Чисто из любопытства, а чем поможет фаервол приложений, если приложение для действия воспользуется вызовом другой программы, например curl?
	Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

	68. "В рамках проекта OpenSnitch развивается динамический межсете..."	–1 +/–
	Сообщение от Аноним (-), 01-Май-18, 03:05
	> Я вот как-то за пару десятилетий не могу припомнить случая, когда мне бы был нужен фаервол уровня приложений. Данная ваша "позиция" влияет на общую ситуацию и вы, обманув себя, обманываете других. Следующий ваш вброс: > Возможность фильтровать по pid была в iptables лет 15 назад, но была настолько ненужной, что ее давно выкинули является ложью, т.к. удалили вовсе не из-за того что она была ненужной, а потому что ее реализацией нашли проблему (я не буду описывать все детали - слишком легко отделаетесь). Я тщательно изучал этот вопрос, т.к. в отличии от пользователей, мне такой функционал очень бы не помешал. PS: Продолжая вашу логику я могу вам продолжить вашу позицию: зачем нужна возня с контейнерами когда есть виртуалки. Я предпочитаю полноценную виртуалку вместо контейнеров.
	Ответить | Правка | Наверх | Cообщить модератору

	105. "В рамках проекта OpenSnitch развивается динамический межсете..."	+1 +/–
	Сообщение от angra (ok), 02-Май-18, 07:26
	> Данная ваша "позиция" влияет на общую ситуацию и вы, обманув себя, обманываете  других. Ну так раскрой же нам правду, расскажи, зачем такой фаервол нужен. > удалили вовсе не из-за того что она была ненужной,  а потому что ее реализацией нашли проблему Я тебе сейчас раскрою одну из тайн мироздания. Когда находят проблему в чем-то нужном -  исправляют проблему. Когда проблему находят в чем-то ненужном, это ненужное выкидывают. Догадайся с трех раз, в какую из двух категорий попадала фильтрация по pid. > PS: Продолжая вашу логику я могу вам продолжить вашу позицию: зачем нужна  возня с контейнерами когда есть виртуалки. Значительно меньшее потребление ресурсов, проще взаимодействие. При этом в данной задаче никакого преимущества виртуалка не имеет, только недостатки.
	Ответить | Правка | Наверх | Cообщить модератору

	115. "В рамках проекта OpenSnitch развивается динамический межсете..."	+1 +/–
	Сообщение от Аноним (-), 02-Май-18, 13:11
	> никакого преимущества виртуалка не имеет, только недостатки. Изоляция в случае виртуалки все же покрепче чем в случае контейнера. Ядро изначально не делалось под контейнеры, поэтому неизбежно есть довольно много острых краев где что-то может пойти не так. А "злобный юзерь" (потенциально - хаксор) скармливает сисколы прямо системному ядру host. И если что-то пойдет не так и ядро удастся одурачить - поимеют прямо хоста. Что как бы далеко не лучший вариант развития событий на свете. А в случае виртуалки - даже если там одурачат ядро, хост виртуалке изначально полностью не доверяет, код в ней доступа к железу не имеет, не может произвольные вызовы фигачить, и вообще. Только то что гипервизор изволит. Ну это в теории. На практике конечно же одурачить можно и гипервизор иной раз. Но в целом гипервизоры (даже встроенные в ядро) обычно изначально делают под недружественное окружение, а виртуализатору и ядру хоста не надо транслировать свой внутренний мир в представление виртуалки, так что многие краевые случаи отпадают сами собой просто из-за иной абстракции. Да, могут появиться новые баги - в виртуальной железке или virtio каком. Но в целом это несколько менее стремные абстракции. С точки зрения "а насколько это просто взять и надурить?"
	Ответить | Правка | Наверх | Cообщить модератору

	123. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от angra (ok), 02-Май-18, 19:26
	Титеретикам предлагается посмотреть сколько раз за последние годы обнаруживались способы подломить xen(виртуалка), а сколько openvz(контейнеры). Начать можно с соседней новости. Также они могут зайти на любого хостера, использующего openvz, и попробовать его взломать, после чего доложить о результатах. Предлагать взломать solaris zones даже не буду, боюсь титеретики про них не слышали. Теорию тоже неплохо бы подтянуть, особенно на тему "код в ней доступа к железу не имеет". Ну и наконец освоить понятие контекста и понять, что значит "в данной задаче", после чего перестать рассказывать про злобных хацкеров, когда речь идет об изоляции приложения.
	Ответить | Правка | Наверх | Cообщить модератору

	127. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 04-Май-18, 10:40
	> Титеретикам предлагается посмотреть сколько раз за последние годы обнаруживались способы > подломить xen(виртуалка), а сколько openvz(контейнеры). Практики читают тематические рассылки и форумы. И знают, что к каждому второму эксплойту Linux Kernel - приписка что "у нас-де есть приватный сплойт VZ, но здесь мы вам его не дадим". Потому что скрипткидисы тут же все разворотят, а профита авторам сплойта ноль. Это даже если забыть о том факте что команда делающая VZ тупит, поэтому в VZшном ядре может болтаться энное количество широко известных CVE неопределенное время. Xen хрен его знает, я KVMом пользуюсь. В нем дыр умеренно, патчат вовремя. В майнлайне известные дыры долго не живут, да и в майнтайнерских/LTSных ядрах тоже. И не надо фикшеное ядро туповйэтить месяцами. > Начать можно с соседней новости. Это про нового спектра? И как, его уже запатчили в VZшных ядрах? Все 8? Или надо полгодика подождать, сидючи с широко известной дыренью класса "полный пэ", как обычно у VZ? > Также они могут зайти на любого хостера, использующего openvz, и попробовать его взломать, Так для этого надо сначала зайти на черный рынок и купить приватный сплойт. Нахаляву VZшные эксплойты особо не дают. Традиция такая. > после чего доложить о результатах. А там есть что-то ценное, чтобы окупить коммерческий сплойт? А то виртуалок можно нарезать и просто купив у хецнера дедик за копье и нарезав его. За это в отличие от - в кутузку не упакуют, так что круто шифроваться не придется. За стоимость VZшного сплойта можно довольно долго аренду дедика оплачивать. > Предлагать взломать solaris zones даже не буду, боюсь титеретики про них не слышали. А практики тупо не найдут с ними хост в интернете. А так ты и мой LD_PRELOAD не сломаешь, но не потому что офигенно безопасный, а просто потому что не ожидаешь такого западла. А был бы он на миллионе хостов - на черно-серых рынках на него быстренько бы склепали воркэраунд. На именно VZ - все есть, но обычно за денежку и достаточно увесистую. > Теорию тоже неплохо бы подтянуть, особенно на тему "код в ней доступа к железу не имеет". В случае KVM/Qemu это в основном таки обычный user-mode процесс. И напрямую он в железо хоста слазить - ну вообще совсем не того. Ему тут же exception прилетит от проца за такое поползновение. А то что гипервизор может вмешаться и в каких-то сильно отдельных случаях приврать что нечто все-таки сработало - уже на усмотрение гипервизора. Еще виртуалка не может фигарить сисколы ядра напрямую. А покормить ядро г-ном через сисколы достаточно перспективно. Если храбрый - запусти fuzzer сисколов на одном из VZ контейнеров. Правда если у тебя в результате подохнет весь хост - я таки не несу ответственности за ущерб репутации и проч, ты должен был знать на что шел. > Ну и наконец освоить понятие контекста и понять, что значит "в данной > задаче", после чего перестать рассказывать про злобных хацкеров, когда речь идет об изоляции приложения. Ну во первых, требования к изоляции приложения тоже могут быть разные. Какие-то приложения долбают больше, какие-то меньше. С разным уровнем технологий атак в процессе. Во вторых, OVZ для этого использовать вообще жоский мазохизм. Ибо сразу +20 к геморрою майнтенанса системы, за сам факт. В этом плане даже докер поганый будет сильно лучше. По крайней мере он запустится на стандартном ядре дистра и там не будет пачка известных vuln месяцами висеть.
	Ответить | Правка | Наверх | Cообщить модератору

	114. "В рамках проекта OpenSnitch развивается динамический межсете..."	+1 +/–
	Сообщение от Аноним (-), 02-Май-18, 13:01
	> Т.е. ты предлагаешь пихать каждое приложение в контейнер, вместо того чтобы один > раз нормально настроить файрвол? Да ты просто гений. Можно 1 раз настроить отсутствие сети в дефолтном неймспейсе и рабочую сеть в недефолтном. И потом в него пускать тех кому сеть явно нужна. При том это можно оформить alias-ами и шорткатами на десктопе. Да и загон в контейнер - звучит страшно, но набрать 1 команду никто не разваливался. Какая разница, с контейнером или без? Разница в нескольких набираемых буковках. Или слегка отредактированном ярлыке. Или что там у тебя. А бонусом - можно взять штуку типа firejail. И не только с сетью разобраться, но и кучу иных левых поползновений зарубить. Ну вот например, читалке PDF решительно нечего делать в кишках системы. Не требуется это для чтения PDF. А сервису VPN совершенно ни к чему иметь возможность что-то делать в юзеровском /home. Это ему тоже совершенно не требуется для работы. И без чтения пдфки он, определенно, обойдется. Как и без доступа к большинству системных утилит. Как бы системная безопасность только сетью не заканчивается, а программы работающие с сетью - кандидаты номер 1 на то чтобы им доступ порубать. Потому что они - крайние. И получат первую пулю от хакеров. Очень кстати если хакер при этом все-таки не получит полный доступ и встрянет по какой-нибудь веселой причине. Вплоть до отсуствия ls в представлении системы и неработы большинства сисколов связанных с ФС, потому что например сетевой программе это было ни к чему.
	Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

	84. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от JL2001 (ok), 01-Май-18, 11:50
	> Возможность фильтровать по pid была в iptables лет 15 назад, но была > настолько ненужной, что ее давно выкинули. С тех пор появилось несколько > вариантов контейнеров, которые решают задачу изоляции приложения куда лучше. Но некоторые > всё никак не могут преодолеть синдром утенка. поделитесь скриптом для запуска "скайпа/телеграма" в контейнере ? а вариант с динамической настройкой правил со списком "программка ломилась туда-то" только через просмотр логов iptables?
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

	106. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от angra (ok), 02-Май-18, 07:38
	> поделитесь скриптом для запуска "скайпа/телеграма" в контейнере ? Мне это никогда не было нужно, так что не поделюсь. А что, есть какие-то проблемы с этими приложениями для "домохозяек"? Там же должна быть тривиальная установка. > а вариант с динамической настройкой правил со списком "программка ломилась туда-то" только  через просмотр логов iptables? Вы так говорите, как будто это что-то плохое.
	Ответить | Правка | Наверх | Cообщить модератору

	76. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 08:49
	> Неужели. 2018. Очередная попытка сделать нормальный фаерволл для приложений. На Go с выходом на Python? Вы же пошутили, признайтесь.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

18. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
Сообщение от патриот (?), 30-Апр-18, 14:05
Использую vuurmuur все устраивает да конечно gui примитивный без доп описаний как в Outpost но работает как по мне все же время экономит для настройки хотя и в консоли можно правила iptables писать но лениво.
Ответить | Правка | Наверх | Cообщить модератору

	30. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Онаним (?), 30-Апр-18, 17:29
	Хорошая штука, но по процессам он же всё-равно не умеет фильтровать.
	Ответить | Правка | Наверх | Cообщить модератору

21. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
Сообщение от iPony (?), 30-Апр-18, 14:25
Выглядит страшненько.
Ответить | Правка | Наверх | Cообщить модератору

25. "В рамках проекта OpenSnitch развивается динамический межсете..."	–1 +/–
Сообщение от Нанобот (ok), 30-Апр-18, 15:23
не прошло и двадцати лет, как в линуксе начали появляться user-friendly файрволы
Ответить | Правка | Наверх | Cообщить модератору

	38. "В рамках проекта OpenSnitch развивается динамический межсете..."	+2 +/–
	Сообщение от Граммарнаци (?), 30-Апр-18, 18:06
	>файрволы пишите с андройда, небось?
	Ответить | Правка | Наверх | Cообщить модератору

	49. "В рамках проекта OpenSnitch развивается динамический межсете..."	+2 +/–
	Сообщение от Аноним (-), 30-Апр-18, 20:59
	>>файрволы > пишите с андройда, небось? вкусно одев пальто
	Ответить | Правка | Наверх | Cообщить модератору

	110. "В рамках проекта OpenSnitch развивается динамический межсете..."	+2 +/–
	Сообщение от ы (?), 02-Май-18, 12:00
	>пишите с андройда, небось? Садись, два, «граммарнаци».
	Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

36. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
Сообщение от Аноним (-), 30-Апр-18, 18:02
прочитал "OpenSwitch", уж надеялся на открытую прошивку для нинтенды
Ответить | Правка | Наверх | Cообщить модератору

	41. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от macfaq (?), 30-Апр-18, 18:31
	> прочитал "OpenSwitch", уж надеялся на открытую прошивку для нинтенды А я - на аналог JunOS, например (:
	Ответить | Правка | Наверх | Cообщить модератору

	59. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 00:10
	>А я - на аналог JunOS, например (: Зачем вам еще один VyOS
	Ответить | Правка | Наверх | Cообщить модератору

37. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
Сообщение от Аноним (-), 30-Апр-18, 18:04
>диалог с предложением принять решение >правила доступа, в которых можно учитывать приложения ДА, ЧЕРТ ПОБЕРИ, ДА. Интересно, как реализуется второе. Спам групповыми политиками?
Ответить | Правка | Наверх | Cообщить модератору

	58. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 30-Апр-18, 23:16
	> Интересно, как реализуется второе. Да оборжака просто: https://github.com/evilsocket/opensnitch/blob/master/daemon/...
	Ответить | Правка | Наверх | Cообщить модератору

	70. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 03:13
	Вообще не об этом вопрос был.
	Ответить | Правка | Наверх | Cообщить модератору

	82. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 10:42
	> Вообще не об этом вопрос был. А о чём? Как фильтрация работает? Ну так NFQUEUE уже много лет как существует для этого. Хотя эти, конечно, могли и что-то более извращённое придумать.
	Ответить | Правка | Наверх | Cообщить модератору

52. "В рамках проекта OpenSnitch развивается динамический межсете..."	+3 +/–
Сообщение от Новичок в файрволах (?), 30-Апр-18, 22:27
Чем оно отличается от OPNsense и IPFire? Объясните для совсем непонятливых.
Ответить | Правка | Наверх | Cообщить модератору

62. "В рамках проекта OpenSnitch развивается динамический межсете..."	+2 +/–
Сообщение от Евгений (??), 01-Май-18, 00:20
А мне вспомнился Гарри Поттер и Квиддич. :)
Ответить | Правка | Наверх | Cообщить модератору

	120. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 02-Май-18, 14:37
	> А мне вспомнился Гарри Поттер и Квиддич. :) Поттер любит изоляцию сети BPFом и у него вся магия прописывается в конфиг юнита.
	Ответить | Правка | Наверх | Cообщить модератору

67. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
Сообщение от Аноним (-), 01-Май-18, 02:49
> написан на языке Go (GUI на Python и PyQt5) Надо было сразу на электроне фигачить.
Ответить | Правка | Наверх | Cообщить модератору

	77. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 08:51
	>> написан на языке Go (GUI на Python и PyQt5) > Надо было сразу на электроне фигачить. Жаль, что Fortran позабыт. Или даже FORTRAN. Вот на нём бы накропали лучше. А кто скажет, что не получится, тот не познал Чань.
	Ответить | Правка | Наверх | Cообщить модератору

	79. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Алконим (?), 01-Май-18, 09:43
	Fortran IV - язык для настоящих мужчин . Уже фортран-77 не то -    хипстота.
	Ответить | Правка | Наверх | Cообщить модератору

72. "В рамках проекта OpenSnitch развивается динамический межсете..."	–3 +/–
Сообщение от Аноним (-), 01-Май-18, 08:09
хорошая альтернатива, консольному iptables
Ответить | Правка | Наверх | Cообщить модератору

	78. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 08:52
	> хорошая альтернатива, консольному iptables peer guardian есть.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 10:29
	все равно что сказать что "пшшшаудио - альтернатива альсе". Оно основано на иптаблес, как бы. Тут скорее - годная альтернатива gufw, firestarter и прочим
	Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

	129. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 01-Фев-19, 04:07
	>gufw ну это Вы уж совсем планку занизили
	Ответить | Правка | Наверх | Cообщить модератору

83. "В рамках проекта OpenSnitch развивается динамический межсете..."	–2 +/–
Сообщение от Аноним (-), 01-Май-18, 10:50
Раньше говорили, что ядро не могет такое и проги нужно от разных юзеров запускать. Через 20 лет выясняется, что могет, просто никому не надо было. Оно как работает то вообще? Прога открывает порт и это событие фиксируется их зондодемоном? А если без порта? =)
Ответить | Правка | Наверх | Cообщить модератору

	90. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 13:40
	> А если без порта? Новое слово в сетевом программировании? Ну давай, покажи свой код "без порта".
	Ответить | Правка | Наверх | Cообщить модератору

	116. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 02-Май-18, 13:27
	> Новое слово в сетевом программировании? Ну давай, покажи свой код "без порта". Например: socket(... SOCK_RAW ...). А что такое "порт" для хотя-бы ICMP?
	Ответить | Правка | Наверх | Cообщить модератору

	122. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 02-Май-18, 15:10
	А ты смоги сначала raw-сокеты или ICMP без рута.
	Ответить | Правка | Наверх | Cообщить модератору

	128. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 04-Май-18, 11:06
	> А ты смоги сначала raw-сокеты или ICMP без рута. Пожалуйста! CAP_NET_ADMIN процессу - и телемаркет. Поэтому он сможет в RAW и конфигурацию сети, но во всем остальном это может быть весьма обрубленый по правам юзерь, который и близко не рут.
	Ответить | Правка | Наверх | Cообщить модератору

	102. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 17:58
	> Раньше говорили, что ядро не могет такое и проги нужно от разных > юзеров запускать. Через 20 лет выясняется, что могет, просто никому не > надо было. Не могёт. Но с помощью проволоки, синей изоленты, палок и ещё одной субстанции…
	Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

	130. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 24-Фев-21, 12:49
	Проги от разных юзеров? Это как?
	Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

86. "В рамках проекта OpenSnitch,  динамического межсет..."	–1 +/–
Сообщение от JL2001 (ok), 01-Май-18, 11:57
нужно но судя по коментам выше нужно не только что оно делает, но и инструмент (в том числе с простым режимом клик-клик) для удобного запихивания программки типа "телеграмм" в подконтрольное окружение (контейнер какого-то типа? просто cgroups?)
Ответить | Правка | Наверх | Cообщить модератору

	94. "В рамках проекта OpenSnitch,  динамического межсет..."	–1 +/–
	Сообщение от Аноним (-), 01-Май-18, 14:22
	Очень просто sudo adduser appsbyfsb sudo -u appsbyfsb telegram
	Ответить | Правка | Наверх | Cообщить модератору

	95. "В рамках проекта OpenSnitch,  динамического межсет..."	+/–
	Сообщение от JL2001 (ok), 01-Май-18, 14:43
	> Очень просто > sudo adduser appsbyfsb > sudo -u appsbyfsb > telegram это всего лишь запуск под отдельным юзером а где фаервол и требуемая комментариями выше контейнеризация?
	Ответить | Правка | Наверх | Cообщить модератору

	96. "В рамках проекта OpenSnitch,  динамического межсет..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 14:54
	> а где фаервол iptables > и требуемая комментариями выше контейнеризация? Запускай через браузер свои фсбшные зонды, а лучше вообще нигде. В крайнем случае установи в формате snap или flatpak.
	Ответить | Правка | Наверх | Cообщить модератору

	97. "В рамках проекта OpenSnitch,  динамического межсет..."	+/–
	Сообщение от JL2001 (ok), 01-Май-18, 15:17
	>> а где фаервол > iptables возможно есть некий скрипт-обёртка для болеменее автоматического запуска с таким окружением? >> и требуемая комментариями выше контейнеризация? > Запускай через браузер свои фсбшные зонды, а лучше вообще нигде. В крайнем > случае установи в формате snap или flatpak. а как snap или flatpak относятся к контейнеризации? это ж всего лишь "все дебы зависимостей ношу с собой" > Запускай через браузер свои фсбшные зонды, а лучше вообще нигде. увы мир не такой радужный, и временами требуется
	Ответить | Правка | Наверх | Cообщить модератору

	98. "В рамках проекта OpenSnitch,  динамического межсет..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 15:24
	> а как snap или flatpak относятся к контейнеризации? Это изолированные контейнеры. > это ж всего лишь "все дебы зависимостей ношу с собой" Это про AppImage. > увы мир не такой радужный, и временами требуется Это не скайп. Оно тебе точно не нужно 99%.
	Ответить | Правка | Наверх | Cообщить модератору

	99. "В рамках проекта OpenSnitch,  динамического межсет..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 15:38
	> возможно есть некий скрипт-обёртка для болеменее автоматического запуска с таким окружением? Можешь сделать Docker образ со всеми настройками iptables и запускать свой зонд одним кликом в будущем.
	Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

	119. "В рамках проекта OpenSnitch,  динамического межсет..."	+/–
	Сообщение от Аноним (-), 02-Май-18, 14:30
	> возможно есть некий скрипт-обёртка для болеменее автоматического запуска с таким окружением? В лине такое firejail называется. > увы мир не такой радужный, и временами требуется Совсем откровенные зонды лучше в отдельную виртуалку. Не очень наглые - в контейнер.
	Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

88. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
Сообщение от DmA (??), 01-Май-18, 13:01
есть какой-нибудь фаревол, который умеет разрешать днс запросы от одних приложений и блокировать от других?
Ответить | Правка | Наверх | Cообщить модератору

	91. "В рамках проекта OpenSnitch развивается динамический межсете..."	–1 +/–
	Сообщение от Аноним (-), 01-Май-18, 13:41
	> есть какой-нибудь фаревол, который умеет разрешать днс запросы от одних приложений и > блокировать от других? netfilter
	Ответить | Правка | Наверх | Cообщить модератору

89. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
Сообщение от Аноним (89), 01-Май-18, 13:33
Неплохо так. Но мне и голых таблисов хватает
Ответить | Правка | Наверх | Cообщить модератору

92. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
Сообщение от Аноним (-), 01-Май-18, 14:16
Этому проекту около 5 лет. Что поменялось с того времени? Неужели таки допилили?
Ответить | Правка | Наверх | Cообщить модератору

	101. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 01-Май-18, 17:56
	> Этому проекту около 5 лет. https://github.com/evilsocket/opensnitch/commit/549af454c456...
	Ответить | Правка | Наверх | Cообщить модератору

93. "В рамках проекта OpenSnitch развивается динамический межсете..."	–3 +/–
Сообщение от Аноним (-), 01-Май-18, 14:18
с приходом проприетарщины в линукс, такая программа просто необходима.
Ответить | Правка | Наверх | Cообщить модератору

124. "В рамках проекта OpenSnitch развивается динамический межсете..."	–1 +/–
Сообщение от Q2W (?), 03-Май-18, 00:39
GUI не юзабелен, ибо отжирает 100% CPU на вкладке с текущими коннектами. Имхо, проще написать какой-нибудь свой велосипед, который бы: 1. просто генерил правила для iptables по дефолту логировать попытки соединений. 2. анализировал эти логи и показывал GUI для создания правил. 3. Писал бы эти правила в iptables. Ну и для интеграции с браузерами для разделения прав для отдельных сайтов достаточно расширения к нему, у которого можно было бы узнать, какой pid вкладку с каким доменом содержит. Там вроде всё просто.
Ответить | Правка | Наверх | Cообщить модератору

	131. "В рамках проекта OpenSnitch развивается динамический межсете..."	+/–
	Сообщение от Аноним (-), 24-Фев-21, 13:08
	Ну раз так все просто Ждем этот велик от тебя
	Ответить | Правка | Наверх | Cообщить модератору

125. "В рамках проекта OpenSnitch,  динамического межсет..."	+/–
Сообщение от Адекват (ok), 03-Май-18, 07:25
фоновый процесс opensnitchd, который выполняется с правами root и как-то слишком жирно, как по мне - opensnitchd - от имени пользователя opensnitchd, а если нужно что-то поменять, то через скрипты, для которых по полному пути в /etc/sudoers что-то прописано. Пользователь opensnitchd без шела и пароля.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема