1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Firewall - Ports nur für ein Programm öffnen

Discussion in 'Linux-Distributionen' started by xadian, Aug 14, 2005.

Thread Status:
Not open for further replies.
  1. xadian

    xadian ROM

    Hi

    ich hab ein Problem bei der Linux Firewall. Ich möchte auf meinem Rechner (Suse 9.3) bestimmten Programmen den Netzwerkzugriff (teils komplett, teils nur einzelne Ports) sperren. Bisher hab ich kein FW-Tool (wie fwbuilder oder so) benutzt und hab auch nicht vor mich in eins reinzuarbeiten.

    Meine Frage also: Kann ich irgendwie über die Kommandozeile mit iptables einen Port nur für ein bestimmtes Programm öffnen?
    (Unter Windows kann man ja schliesslich auch Regeln, die nur für best. Programme zutreffen erstellen.)

    Schön wäre, wenn jemand den entsprechenden Befehl für zB. Port 80, der nur für Mozilla Firefox offen sein soll posten könnte.

    mfg xadian

    P.S.: Ich hab schon gelesen, dass man mit dem owner-module Ports für PIDs sperren kann. Aber ist für ein bestimmtes Programm die PID nach einem Neustart immernoch die gleiche?!

    P.P.S: Hilfreich wär auch erstmal die Info, wo ich in mienem System ne Liste aller Prozesse und Dienste herbekomm, die gerade Netzwerkverbindungen offen haben.
     
    xadian, Aug 14, 2005
    #1
  2. Affirmation

    Affirmation Kbyte

    Verständlich.

    Das ist haarig.
    Simpler Grund: Es ist eigentlich nicht nötig. Wenn ein Service auf einem Port läuft, dann kann kein anderes Programm an diesen binden - und somit ist das eben rein technisch geschützt.

    Das Problem ist vor allem, dass iptables das nicht ohne spezielle Programme kann die quasi immer checken, welche Application offen ist und nach aussen will. Das geht mir purem Linux-Systemen nicht.

    Versuche hier vielleicht: http://l7-filter.sourceforge.net/
    (Allerdings ist der Aufwand relativ hoch im Vergleich zum Sinn - siehe auch nächsten Quote)

    Hier liegt ein Verständnisproblem vor, denke ich.
    Dein Firefox nutzt mitnichten deinen lokalen Port 80 um nach aussen zu verbinden (das könnte er ohne root-Rechte nicht einmal), er nutzt einen zufälligen Port > 30000 und wird zum Zielport 80 Kontakt aufnehmen. Demnach musst du Port 80 nicht aufhaben.
    Und ob es soviel Sinn macht Zielports für Firefox zu sperren - das mag ich mal nicht beurteilen.

    PIDs sind nie gleich. Wobei ich allerdings das Modul nicht direkt kenne um das jetzt abschliessend zu beurteilen.

    Als root:
    netstat -ap | grep "tcp\|udp"
     
    Affirmation, Aug 14, 2005
    #2
Thread Status:
Not open for further replies.

Share This Page