| |
Объявлено об открытии исходных текстов всех наработок продукта Douane, в рамках которого подготовлена реализация персонального интерактивного межсетевого экрана для Linux, поддерживающего интеграцию с GNOME. Douane предоставляет наглядный интерфейс для отслеживания сетевой активности пользовательских приложений и блокирования нежелательного сетевого трафика. При выявлении попытки сетевого соединения от приложения, не подпадающего под правила белого списка, программа выводит пользователю диалог с предложением принять решение о продолжении инициированной сетевой операции. Код открыт под лицензией GPLv2 и доступен на GitHub.
Douane состоит из четырёх базовых частей: модуля для ядра Linux, фонового процесса для мониторинга соединений, графического интерфейса для вывода уведомлений и конфигуратора.
- Модуль ядра douane-dkms написан на языке Си с использованием фреймворка Netfilter и предназначен для перехвата исходящего трафика, определения его связи с отдельными приложениями и осуществления блокировки запрещённого пользователем трафика. Для приостановки сетевой активности программы до принятия решения используется помещение пакета в очередь NF_QUEUE.
- Фоновый процесс douane-daemon отвечает за контроль за соблюдением ранее принятых решений о допустимости того или иного трафика от приложений и инициирования запроса пользователю в случае появления ранее не наблюдаемой сетевой активности. Демон написан на языке С++, использует D-Bus для обмена данными с компонентами в пространстве пользователя и Netlink для взаимодействия с модулем ядра.
- Интерфейс для вывода уведомлений (douane-dialog) отвечает за подтверждение или блокирование пользователем выявленной активности. Компонент написан на языке С++ и использует обвязку GTKmm для работы с библиотекой GTK+ 3 в проектах на языке С++. При желании могут быть разработаны альтернативные реализации интерфейса, например, на базе Qt и других графических библиотек. Реализация достаточно проста и сводится к инициированию диалога по D-Bus и отправке обратно сделанного пользователем выбора;
- Конфигуратор douane-configurator отвечает за управление работой межсетевого экрана и корректировку ранее добавленных правил. Интерфейс настройки написан на языке Python 3 с использованием библиотеки GTK+ 3, работа с которой осуществляется через биндинг PyGObject. Правила блокировки так же могут быть отредактированы вручную, они хранятся на диске в формате JSON с определением привязки заданных пользователем действий (разрешить/запретить) к приложению.
|
|
- Главная ссылка к новости (http://www.reddit.com/r/linux/comments/2...)
| Тип: Программы | Ключевые слова: douane, firewall, nefilter, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
| +/– | Опять бидонисты своей несовместимостью гадят ... весь текст скрыт [ показать] | | | 3.140, Аноним, 19:20, 28/04/2014 [ ^] [ ответить] [ смотреть все] +/–Да с фига ли ebuild R kde-base pykde4-4 11 5 4 4 11 4 11 5 4 4 USE e... весь текст скрыт [ показать]
1.3, Аноним, 09:39, 28/04/2014 [ответить] [смотреть все] –6 +/–вот бы випнет фаервол и керио ещё на линукс портировали... весь текст скрыт [ показать]
2.16, AlexYeCu_not_logged, 10:23, 28/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +4 +/– 4.25, Аноним, 11:04, 28/04/2014 [ ^] [ ответить] [ смотреть все] +2 +/–випнета фактически нету со времён rhel 4... весь текст скрыт [ показать] 5.91, linux must _RIP__, 16:10, 28/04/2014 [ ^] [ ответить] [ смотреть все] +/–как человек писавший его код - могу сказать что портировать VipNet на любое ядро... весь текст скрыт [ показать] 8.148, Аноним, 20:43, 28/04/2014 [ ^] [ ответить] [ смотреть все] –2 +/–тут ещё писали про песню о коде на крестах в ядре ... весь текст скрыт [ показать] 8.151, Forth, 20:59, 28/04/2014 [ ^] [ ответить] [ смотреть все] +1 +/–
> это вопросы к москве :-) Нас к исправлению ошибок не допускали. Да
> и в то время когда его писал - 100мбит нагрузки он
> держал легко.
> А как восстанавливали код управления ключевой инфой - это была отдельная песня..
О. А я задавался простым вопросом какого хрена оно такое. Кучка дос-говна на винде.
Ларчик просто открывался. :) спасибо.
4.44, Аноним, 13:10, 28/04/2014 [ ^] [ ответить] [ смотреть все] +1 +/–Без бумажки ты букашка, а с бумажкой - человек Впрочем, да, у нас в старне все ... весь текст скрыт [ показать] 6.89, Аноним, 16:06, 28/04/2014 [ ^] [ ответить] [ смотреть все] +7 +/–
> Дуров продавал акции до тех пор, пока не потерял контрольный пакет и
> соотв. контроль над компанией.
Если тебе зажать мягкие части тела в тиски и начать выживать - ты тоже будешь продавать акции, когда тебя задолбает.
> По прогнозам, доходы компании при новом руководстве вырастут
Э не, чувак! В таких вещах все эти бла-бла не котируются. Вот когда и если вырастут - вот тогда и приходите. Ну и вообще, учить ведению бизнеса создателя стартапа который из грязи в князи контору поднял - очень интересная идея. Вон в оригинале цукерберг живет себе. Потому что в странах с вменяемым правителством понимают что не надо лезть в дела бизнеса. А у нас как обычно - слон в посудной лавке. А потом и удивляются - как же так, денег в бюджете нет?!
|
10.133, axe2, 18:46, 28/04/2014 [^] [ответить] [смотреть все] | +6 +/– |
я 8 лет был не наемным рабочим, а работодателем.
Ваши диванно-теоретические фантазии с целями, самолетами и прочим трэшем с переходом на личности лучше оставить при себе.
Я знаю, что значит "нужно докупить", в отличие от вас, и что этот момент, в случае стартапа, не всегда прогнозируем. И могу свидетельствовать, что присутствие некого лица, в качестве свадебного генерала, который ничего не делает кроме как числится в списке соучередителей ООО, уже дает +100 к любой деятельности по всей локации. Это наша российская действительность.
У Дурова, скорее всего не было выбора, даже будь у него деньги на развитие - глупо считать, что деньгами в нашей стране можно решить все проблемы.
| | | 12.163, Аноним, 22:36, 28/04/2014 [ ^] [ ответить] [ смотреть все] +2 +/–Очередной торгаш возомнил из себя бога Пипец... весь текст скрыт [ показать] 8.170, Аноним, 03:26, 29/04/2014 [ ^] [ ответить] [ смотреть все] +2 +/–Да, наши усвоили уже - построенный бизнес можно попытаться у лоха ОТЖАТЬ , по... весь текст скрыт [ показать] |
9.182, клоун, 11:27, 29/04/2014 [^] [ответить] [смотреть все] | +/– |
В своё время Джобса выперли из Apple при похожих обстоятельствах. И основателей Starbucks из созданной ими компании тоже.
Президенты США акции не роняли, а глава ФРС (местный Центробанк) уже не раз и не два. Думаете компаниям есть разница из-за чьего базара их акции упали?
> РФ вообще все плохо
Так почему, почему вы всё ещё в РФ, если вам так плохо??? Или, может быть, вам нравится, когда вас унижают? Вы испытываете сексуальное удовольствие видя как грабят других людей на ваших глазах? Ничем иным, кроме вашего извращённого способа получения удовлетворения, ваши фантазии я объяснить не могу.
| | | 2.90, linux must _RIP__, 16:08, 28/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] –3 +/– 3.134, axe2, 18:54, 28/04/2014 [ ^] [ ответить] [ смотреть все] +/–VipNet поставляется в т ч и на линуксе Координатор, например А випнет термина... весь текст скрыт [ показать] 3.152, Аноним, 21:01, 28/04/2014 [ ^] [ ответить] [ смотреть все] –1 +/–нy-ка сканпелируй его на чём-то вышедшем после 2010-го года Или пакеты предъяви... весь текст скрыт [ показать]
1.11, Аноним, 10:03, 28/04/2014 [ответить] [смотреть все] –9 +/–Теперь у нового поколения администраторов будет основание для того, чтобы держат... весь текст скрыт [ показать]
2.34, zero, 12:24, 28/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +1 +/–ага, админы с автоматом за спиной каждого сотрудника - система то не сервер... весь текст скрыт [ показать] [ показать ветку] 2.40, Аноним, 12:52, 28/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +2 +/–Нет Теперь обычные юзеры получат инструмент контроля за своей системой Раньше ... весь текст скрыт [ показать] [ показать ветку] |
10.173, Etch, 04:07, 29/04/2014 [^] [ответить] [смотреть все] | –1 +/– |
Я умею делать песочницы для софта, но всё-равно предпочёл бы на десктопе такой вот удобный графический интерактивный интерфейс.
| | | 9.143, Аноним, 19:59, 28/04/2014 [ ^] [ ответить] [ смотреть все] +/–А вот полез ты в интернет через фирефокса и он тебе подряд несколько таких окоше... весь текст скрыт [ показать] 6.164, Аноним, 22:41, 28/04/2014 [ ^] [ ответить] [ смотреть все] –1 +/–Чувствуется тяжелая судьба эникейщика Но да, обычные пользователя умеют качаь... весь текст скрыт [ показать]
1.22, Аноним, 10:52, 28/04/2014 [ответить] [смотреть все] +/–
1.24, Okay, 11:01, 28/04/2014 [ответить] [смотреть все] +/–
Джва года, да какие два -- гораздо больше, ждал такого в линуксе.
1.26, arisu, 11:08, 28/04/2014 [ответить] [смотреть все] +1 +/–
и зачем эта фигня нужна? O_O
5.68, pavel_simple, 14:32, 28/04/2014 [ ^] [ ответить] [ смотреть все] +/–это не про сей модуль, например он игнорирует фильтры всего акромя tcp udp И, к... весь текст скрыт [ показать]
6.101, Аноним, 16:38, 28/04/2014 [ ^] [ ответить] [ смотреть все] +/–А остальное можно вообще зарезать КЕМ на фаере без особых потерь MS вон в прист... весь текст скрыт [ показать] 7.131, pavel_simple, 18:24, 28/04/2014 [ ^] [ ответить] [ смотреть все] +/–294, вот смотри есть два случая обработки прафика - два флоу 1 L2 L3 netfil... весь текст скрыт [ показать]
1.29, Нанобот, 11:34, 28/04/2014 [ответить] [смотреть все] –6 +/–не прошло и двадцати лет, как осилили прикрутить к iptables функцию обучения ... весь текст скрыт [ показать]
1.30, rob pike, 11:42, 28/04/2014 [ответить] [смотреть все] –1 +/–
А шейпера такого нету случайно?
2.48, Аноним, 13:19, 28/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–Домохозяйкам не требуется шейпер А тем кому требуется - обычно могут его и как ... весь текст скрыт [ показать] [ показать ветку] 4.86, Аноним, 15:46, 28/04/2014 [ ^] [ ответить] [ смотреть все] +2 +/–Хм Стесняюсь спросить а где посмотреть этот клёвый шейпер в виде готового к упо... весь текст скрыт [ показать] |
8.162, rob pike, 22:35, 28/04/2014 [^] [ответить] [смотреть все] | +/– |
>Ставь машину с виндой и делай сеть, проблемы-то какие?
А простой и удобной рулилки нет даже в этом гипотетическом случае.
>Документации тоже хватает, когда есть желание тонкой настройки
Это смех один. тот man tc, только чуть в профиль и для гиков, только чуть менее умных.
Приоритетами разных приложений как мне порулить, если они через те же порты по тому же http ходят?
>Моя позиция в случаи домашнего применения - шейпинг на клиентах это 60% юзкейсов
И торрентокачалка тут же убивает всех.
>Хотите гибче - покупайте нормальный роутер с развитой вебмордой и настраивайте шейпинг
А нету. В лучшем случае там в вебморде будет ручка к tc, только урезанная.
>Мало? Делайте из дохложелеза роутер и пердольте его как вам угодно
Нам угодно слайдер подвинуть в трее - "вот этому приложению" сейчас дать чуть побольше.
| | | 5.136, rob pike, 19:04, 28/04/2014 [ ^] [ ответить] [ смотреть все] –1 +/–А просто и наглядно сделать как раз непросто ... весь текст скрыт [ показать] 4.104, Аноним, 16:41, 28/04/2014 [ ^] [ ответить] [ смотреть все] +/–Я как-то не совсем хорошо понимаю как должен работать динамический наглядный шей... весь текст скрыт [ показать]
1.39, Кирилл, 12:51, 28/04/2014 [ответить] [смотреть все] +1 +/–
А нафига это?
1.45, pavlinux, 13:16, 28/04/2014 [ответить] [смотреть все] +3 +/–
Мож чего просмотрел, но
тут
https://github.com/Douane/douane-dkms/blob/master/douane.c#L849
и тут
https://github.com/Douane/douane-dkms/blob/master/douane.c#L867
утечка памяти, размером sizeof(struct network_activity)
---
И если присылать коннекты с битыми хередарами
[code]
switch(ip_header->protocol)
if (udp_header == NULL)
...
if (tcp_header == NULL)
...
[/code]
А структура-то жирная ... более 16 кило на один коннект
[code]
struct network_activity {
int kind; // 4
char process_path[PATH_MAX * 4]; // 4 раза по 4096 (нахера?!!!)
int allowed; // 4
char devise_name[16]; // 16
int protocol; // 4
char ip_source[16]; // 16
int port_source; // 4
char ip_destination[16]; //16
int port_destination; // 4
int size; //4
};
[/code]
То заДоСить можно быстро ...
1.51, Аноним, 13:24, 28/04/2014 [ответить] [смотреть все] +2 +/–
1.52, Аноним, 13:24, 28/04/2014 [ответить] [смотреть все] –7 +/–Наконец то что то подобное появилось Десктоп становится все юзабельнее ... весь текст скрыт [ показать]
3.58, Аноним, 13:33, 28/04/2014 [ ^] [ ответить] [ смотреть все] +2 +/–И кому он нужен кроме гламурных кpeтинов с сомнительными сексуальными предпочтен... весь текст скрыт [ показать] 7.111, Аноним, 16:52, 28/04/2014 [ ^] [ ответить] [ смотреть все] +2 +/–Вон у торвальдса тоже на моем макбуке Правда там федора Это наверное какие-т... весь текст скрыт [ показать] 8.126, Кирилл, 17:37, 28/04/2014 [ ^] [ ответить] [ смотреть все] –3 +/–Эпл был основным спонсором gcc ... весь текст скрыт [ показать] 7.112, Аноним, 16:52, 28/04/2014 [ ^] [ ответить] [ смотреть все] –1 +/–Да что там фразы, на Опеннете примеров уйма - новость о каком-нибудь открытом ПО... весь текст скрыт [ показать] 6.80, Кирилл, 15:25, 28/04/2014 [ ^] [ ответить] [ смотреть все] –2 +/– 5.76, Кирилл, 15:20, 28/04/2014 [ ^] [ ответить] [ смотреть все] –5 +/–Как бы помягче -- ВСЕ Буквально Это основная платформа раб места нормально оп... весь текст скрыт [ показать] 9.124, Кирилл, 17:31, 28/04/2014 [ ^] [ ответить] [ смотреть все] –2 +/–А что вам такого уникального нужно от компа Просто интересно Мак, как железка,... весь текст скрыт [ показать] 10.144, rob pike, 20:00, 28/04/2014 [ ^] [ ответить] [ смотреть все] +1 +/–Хотя бы нормальную клавиатуру Хотел продолжить с трекпойнтом , но мак отпадает... весь текст скрыт [ показать] 10.178, Аноним, 09:18, 29/04/2014 [ ^] [ ответить] [ смотреть все] +/–Мне вот пингвин сильно упрощает 1 Все что связано с установкой и обновлением с... весь текст скрыт [ показать] 8.115, Аноним, 17:02, 28/04/2014 [ ^] [ ответить] [ смотреть все] +2 +/–Обуеть какое обоснованное мнение - какой-то один Кирилл единомоментно за всех ре... весь текст скрыт [ показать] 6.114, Аноним, 16:55, 28/04/2014 [ ^] [ ответить] [ смотреть все] +/–А вон та толпа оплачиваемых разработчиков линукса, например, это что, мой глюк ... весь текст скрыт [ показать] 8.168, Аноним, 02:59, 29/04/2014 [ ^] [ ответить] [ смотреть все] +1 +/–Это наглый пиндеж, ибо разрабатывать под линух не из линуха - дикий изврат и куч... весь текст скрыт [ показать] 4.81, Кирилл, 15:26, 28/04/2014 [ ^] [ ответить] [ смотреть все] –1 +/–БСД ничем не отличается от Венды ... весь текст скрыт [ показать]
1.72, Гость, 15:04, 28/04/2014 [ответить] [смотреть все] –2 +/–
сделали бы оповещения через dbus и можно было бы клепать гуи на любом тулките.
1.83, Antonim, 15:36, 28/04/2014 [ответить] [смотреть все] +/–
А мне понравилась архитектура самого проекта. Модульность и разумный подход для средств реализации. Критичные к скорости и отзывчивости вещи на С, чуть менее критичные на плюсах и некритичные на питоне. Не очень, правда, понятна привязка плюсов к Gnom'у...
Но возникает вопросы - а с помощью AppArmor это нельзя решить?Ну или SELinux?
А помещение запроса от программы в NF_QUEUE не может никак стек тормознуть?
Интересно ещё - от кого запускается диалог запроса правил и конфигуратор.
Т.е. темы интерфейса рута нужно будет синхронизировать с основной?
Для распространения линукса вещь полезная.Плюсик им.
|
4.158, Xaionaro, 22:22, 28/04/2014 [^] [ответить] [смотреть все] | +/– |
> Вообще отдельная VM :). Если даже все сгорит синим пламенем - чертыхнусь и откачу на снапшот. Заодно может наздоровье все данные с VM тырить. С таким же успехом можно стырить данные с нулевой инсталляции системы и без вламывания ко мне :)
Читали про L3 cache side-channel attack-и? :)
|
| | 2.139, Аноним, 19:15, 28/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
1.97, Аноним, 16:28, 28/04/2014 [ответить] [смотреть все] +/–Теперь можно запретить игропрогам из вайна посещять интернет включая 80 ... весь текст скрыт [ показать]
3.159, Аноним, 22:25, 28/04/2014 [ ^] [ ответить] [ смотреть все] +/–протокол матчить не нужно, достаточно последней строчки... весь текст скрыт [ показать] 4.185, arisu, 13:36, 29/04/2014 [ ^] [ ответить] [ смотреть все] +/–
> протокол матчить не нужно, достаточно последней строчки
я ж говорю — на скорую руку выдернул. у меня в скрипте правила сильно сложнее, матч протокола остался от того, что некоторые порты открыты.
но перемудрил конечно, да.
1.160, Аноним, 22:27, 28/04/2014 [ответить] [смотреть все] +1 +/– предоставляет интерфейс да таких проектов пактов в линукс - вагон чем Fire... весь текст скрыт [ показать]
3.183, Аноним, 12:44, 29/04/2014 [ ^] [ ответить] [ смотреть все] +/–очевидно-неочевидные спорные моменты для автора хромосомы семитов - оставьте ... весь текст скрыт [ показать] 2.165, Аноним, 22:41, 28/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–Тем что речь это не динамические фаерволы, а лишь конфигураторы для iptables, пр... весь текст скрыт [ показать] [ показать ветку] 3.186, arisu, 13:39, 29/04/2014 [ ^] [ ответить] [ смотреть все] +/–
«динамический фаервол» — это ублюдочное порождение винды. в винде всегда помойка, запускают что попало, бедная программа не может сама решить, что кому можно — и задалбывает пользователя. в пингвинусе это бесполезно. разве что для «тупых свитчеров», которые любую систему мгновенно в винду превращают.
Ваш комментарий
Read more |