LinuxMint.com.ru

Всем доброго времени суток.
Нужна помощь знающих и разбирающихся людей

Задача1: Заблокировать ненужный трафик на линукс минт и разрешить только то что нужно, что бы линукс не общался ни с кем в сети, кроме того что мы разрешили

Задача2: Заблокировать весь трафик по какому либо домену или ip.

Например что бы пользователь совсем не мог связаться с vk.com и другими ненужными сайтами, программами или даже внутренними службами.
Подскажите пожалуйста если не решении то куда пойти и где копать

iptables
фаервол ufw(вроде он сейчас в этом качестве выступает)

rogoznik писал(а): ↑

15 янв 2020, 09:33

iptables
фаервол ufw(вроде он сейчас в этом качестве выступает)

А оно могёт на уровне приложений трафик фильтровать?

misksa писал(а): ↑

15 янв 2020, 09:17

Например что бы пользователь совсем не мог связаться с vk.com и другими ненужными сайтами

Это уже задача больше для уровня шлюза сети. При этом необходимо предусмотреть перенаправление запросов DNS, поскольку ушлые пользователи могут поменять в настройках сетевогоо соединения адреса серверов DNS с выдаваемого по DHCP на другие. Для "вредных" служб нужно знать порты, по которым они работают и, соответственно, трафик на эти порты запрещать. С кандачка задача не решается, нужен вдумчивый подход. На прежнем месте работы делал, но там неделю разбирался что "моня", а что "низзя".

Не совсем ясно какой Linux - домашний или на работе. Соответственно, подходы будут разные.

madesta писал(а): ↑

15 янв 2020, 16:24

Не совсем ясно какой Linux - домашний или на работе. Соответственно, подходы будут разные.

дома
Пока что для себя нашел решение редактировать файл hosts и туда вписывать домены.
Правда не знаю на сколько правильно это, может есть более изящный подход?
И так скажем более безопасный

misksa писал(а): ↑

15 янв 2020, 17:03

Пока что для себя нашел решение редактировать файл hosts и туда вписывать домены.
Правда не знаю на сколько правильно это, может есть более изящный подход?

Для дома, по-моему, вполне достаточно, если кроме вас никто не может редактировать hosts через sudo.
Почему вы считаете, что этот способ недостаточно "изящный"? Порядок сопоставления имени домена конкретному ip как раз начинается с hosts, а уже потом запросы на не найденные там адреса перенаправляются на серверы dns.
В качестве лирического отступления. Лет 10 назад по просьбе знакомой запретить её дочери пользоваться контактом "развлёкся", сопоставив в hosts домену vk.com адрес IP, соответствующий сайту с тематикой новых компьютерных и сетевых угроз.

madesta писал(а): ↑

15 янв 2020, 17:41

Почему вы считаете, что этот способ недостаточно "изящный"? Порядок сопоставления имени домена конкретному ip как раз начинается с hosts, а уже потом запросы на не найденные там адреса перенаправляются на серверы dns.

Если мне нужно очень много доменов вписать, есть ли способ сократить это как-то?
И будет ли работать так же если я просто впишу ip адрес?
И еще один вопрос хотел узнать я их все перенаправляю на 127.0.0.1 это разумный подход?)

madesta писал(а): ↑

15 янв 2020, 17:41

Почему вы считаете, что этот способ недостаточно "изящный"? Порядок сопоставления имени домена конкретному ip как раз начинается с hosts, а уже потом запросы на не найденные там адреса перенаправляются на серверы dns.

С последними инициативами от гугла и firefox это уже не всегда так. Теперь они вполне могут найти адрес сами по протоколу dns-over-https, не оглядываясь на hosts и простой dns.
Да и раньше это была плохая (ненадежная) практика в смысле блокировок "ненужного".

Хотите блокировать полноценно - изучайте iptables. Там можно настроить как угодно, на любой вкус. И по приложениям в том числе.