нужно запретить софтине oml32 ползать на 21 порт

Здравствуйте, Философ, Вы писали:

Ф>нужно запретить софтине oml32 ползать на 21 порт

Закрываешь 21 нафиг. Настраиваешь трансляцию портов, чтобы те, кто лезет на порт 2121 наружу транслировались как идущие на 21 порт.
После этого всем легальным программам прописываешь вместо 21 порт 2121. Задача решена.

Здравствуйте, the_daily_ragnarok, Вы писали:

__>Здравствуйте, Философ, Вы писали:

Ф>>нужно запретить софтине oml32 ползать на 21 порт

__>Закрываешь 21 нафиг. Настраиваешь трансляцию портов, чтобы те, кто лезет на порт 2121 наружу транслировались как идущие на 21 порт.
__>После этого всем легальным программам прописываешь вместо 21 порт 2121. Задача решена.

не все программы предоставляют возможность переназначить порты => решение не годится
(по 21 порту софтина обновляется)

Здравствуйте, the_daily_ragnarok, Вы писали:

__>Здравствуйте, Философ, Вы писали:

Ф>>нужно запретить софтине oml32 ползать на 21 порт

__>Закрываешь 21 нафиг. Настраиваешь трансляцию портов, чтобы те, кто лезет на порт 2121 наружу транслировались как идущие на 21 порт.
__>После этого всем легальным программам прописываешь вместо 21 порт 2121. Задача решена.

-1.
Вы решили другую задачу.

Здравствуйте, Abyx, Вы писали:

A>-1.
A>Вы решили другую задачу.

Я так понимаю, что если сарказм не обозначен тегом или смайликом, то он непонятен?

Здравствуйте, the_daily_ragnarok, Вы писали:

__>Здравствуйте, Abyx, Вы писали:

A>>-1.
A>>Вы решили другую задачу.

__>Я так понимаю, что если сарказм не обозначен тегом или смайликом, то он непонятен?

Для того чтобы отличать сарказм нужно знать человека хотя-бы немного.

Здравствуйте, Философ, Вы писали:

Ф>нужно запретить софтине oml32 ползать на 21 порт

Юзер фреднли коммьюнити убунтоидов нашло очевиднейший юзерфрендлейший способ: надо "всего лишь" создать группу пользователей, назначить ей нужные правила в iptables, запускать из группы приложение и будет счастье и двойная радуга засияет над небом

http://ubuntuforums.org/showthread.php?t=1188099

(Там правда говорится про полное отключение инета, но переделать это на только 21 порт не сложно)

Оставим за кадром что софтину надо будет запускать через враппер(или поставить setgid бит — наверное сработает, не проверял)

Поистине удобный способ. Гораздо более простой, чем нажать кнопку "заблокировать приложение" /s

M>нашло очевиднейший юзерфрендлейший способ: надо "всего лишь" создать группу пользователей, назначить ей нужные правила в iptables,
M>Поистине удобный способ. Гораздо более простой, чем нажать кнопку "заблокировать приложение"

Способ лично непривычный для Вас с виндовыми привычками.
А с точки зрения безопасности системы он наиболее логичный. В iptables должно быть жестко прописано по портам и IP куда можно приложениям лезть: там до репозитария, до почтового сервера, до DNS сервера.
Если приложение должно лазать по произвольным IP адресам (скажем браузер, торрент, скайп) — оно потенциально опасное. Такое приложение надо запускать от другого юзера. Для него более вольные правила в фарволле, зато локальные права более жестко ограниченные, чтоб такое опасное приложение локально не смогло вред нанести.

Здравствуйте, maykie, Вы писали:

Ф>>нужно запретить софтине oml32 ползать на 21 порт

M>Юзер фреднли коммьюнити убунтоидов нашло очевиднейший юзерфрендлейший способ: надо "всего лишь" создать группу пользователей, назначить ей нужные правила в iptables, запускать из группы приложение и будет счастье и двойная радуга засияет над небом

M>http://ubuntuforums.org/showthread.php?t=1188099

M>(Там правда говорится про полное отключение инета, но переделать это на только 21 порт не сложно)

M>Оставим за кадром что софтину надо будет запускать через враппер(или поставить setgid бит — наверное сработает, не проверял)

M>Поистине удобный способ. Гораздо более простой, чем нажать кнопку "заблокировать приложение" /s

Конечно все эти операции хорошо бы завернуть в одну кнопку "заблокировать приложение", выскакивающую при первом доступе в интернет.
Но с чисто технической точки зрения вполне сипматичный способ. Выглядит гораздо естественней чем виндузовый подход, когда каждый фаервол самостоятельно организует свою систему прав доступа.

Ваш сарказм по поводу ""всего лишь" создать группу пользователей" не обоснован. В Линуксе группы создаются легко и непринуждённо на каждый чих. Дело в том, что здесь группы несут в себе иную смысловую нагрузку, не такую как в Винде. Обратите внимание, что Линуксе на каждый файл можно установить только 1 пользователя-владельца и только 1 группу. И этого достаточно, чтобы обеспечить тот же функционал, что и в Виндовых ACL.

Здравствуйте, UBUNTU-CPAHb, Вы писали:

M>>нашло очевиднейший юзерфрендлейший способ: надо "всего лишь" создать группу пользователей, назначить ей нужные правила в iptables,
M>>Поистине удобный способ. Гораздо более простой, чем нажать кнопку "заблокировать приложение"

UC>Способ лично непривычный для Вас с виндовыми привычками.
Он непривычный сточки срения любого нормального человека.(укушенные пингвином не всчет).
UC>А с точки зрения безопасности системы он наиболее логичный. В iptables должно быть жестко прописано по портам и IP куда можно приложениям лезть: там до репозитария, до почтового сервера, до DNS сервера.
не путай десктопы и сервера. Для дисктопов гораздо удобней подход, применяемый в виндовых фаерах. Хотя многие укушенные пингвином имеют изврасченные представления об удобстве, предпочитая трахаться с компом полдня вместо того чтоб нажать одну кнопочку.
UC>Если приложение должно лазать по произвольным IP адресам (скажем браузер, торрент, скайп) — оно потенциально опасное. Такое приложение надо запускать от другого юзера. Для него более вольные правила в фарволле, зато локальные права более жестко ограниченные, чтоб такое опасное приложение локально не смогло вред нанести.
Ну так делайте все это в фаерволе Юзеру не надо знать все эти подробности, ему надо чтоб все работало при минимальном гиморе

Здравствуйте, midl, Вы писали:

UC>>Если приложение должно лазать по произвольным IP адресам (скажем браузер, торрент, скайп) — оно потенциально опасное. Такое приложение надо запускать от другого юзера. Для него более вольные правила в фарволле, зато локальные права более жестко ограниченные, чтоб такое опасное приложение локально не смогло вред нанести.
M>Ну так делайте все это в фаерволе Юзеру не надо знать все эти подробности, ему надо чтоб все работало при минимальном гиморе
Это утопия. Если пользователь не понимает, что можно разрешать разрешать приложению, а что нельзя, то он не сможет правильно настроить фаервол даже с супердружественным GUI. Что, никогда не видел как пользователи кликают "Разрешить" даже не прочитав, что им пишет симпатичное всплывающее окошко фаера?

Если мы говорим о совсем глупом юзере, то для него фаервол должен настраивать админ, которому проще один раз сесть и наваять список правил iptables.

Если мы говорим о юзере понимающем, что происходит у него на компьютере, то для него конфиг iptables гораздо понятнее, чем нагромождения окошек, табличек и иконок. В конфиге можно комменты писать, можно сделать поиск, можно скопипастить кусок, можно забэкапить, можно грепнуть и т.д. Причём простейшими средствами, а не лицензионным(С) гуем от разработчика фаервола. Реально iptables не хватает только всплывающих сообщений о блокировках сетевых пакетов и программ. Хотя бы через Gnome Notification. А все графические тулзы для рисования правил фаервола — это зло и утопия. Вы когда-нибудь пробовали писать программы с рисуя блок-схемы мышкой? Удобно?

M>Он непривычный сточки срения любого нормального человека.(укушенные пингвином не всчет)

Из вас комплексы прут. Стремление оскорбить группу людей такими фразами, как "укушенные пингвином" выдает в вас закомплексованного человека.
Сильному человеку самоутверждаться за счет других нет смысла. Он и без этого в себе уверен.

M>не путай десктопы и сервера.

Вот именно! Не надо мерить все своим домашними компьютером. Домашний рассчитан на использование домохозяйками и школотой. Поэтому он такой. С визардами.
Есть еще не знакомый для вас мир серверов. У которых совсем другие задачи и с которыми работают серьезные бородатые админы.

M>Юзеру не надо знать все эти подробности, ему надо чтоб все работало при минимальном гиморе

Опять речь про домохозяек, школоту и домашние компьютеры.
У Линукса другие задачи. Представь админа у которого в стойках сотня серверов. Он, что будет с каждым сервером сидеть и ловить всплывающие сообщения визарда?
Это не возможно и так не делается. Админ просто возьмет готовый типовой конфиг iptables из своего загашника. Подправит под свои нужды и скопирует его на кучу серверов.
Задача решена максимально быстро и практично.

midl, не трогайте Линукс. Он не для вас. Каждому — свое. Кому опера нравиться слушать, а кому Дом2 смотреть. Каждому — свое.

Здравствуйте, UBUNTU-CPAHb, Вы писали:

M>>не путай десктопы и сервера.

UC>Вот именно! Не надо мерить все своим домашними компьютером. Домашний рассчитан на использование домохозяйками и школотой. Поэтому он такой. С визардами.
UC>Есть еще не знакомый для вас мир серверов. У которых совсем другие задачи и с которыми работают серьезные бородатые админы.

M>>Юзеру не надо знать все эти подробности, ему надо чтоб все работало при минимальном гиморе

UC>Опять речь про домохозяек, школоту и домашние компьютеры.
UC>У Линукса другие задачи.

ХЗ. Если не гаматься, то линукса вполне хватает для домашнего юзера. Кино посмотреть, в инете посерфить, музыку послушать. Что ещё надо для счастья?
У десктопов есть потребность в дешёвой, безопасной, стабильной ОС, без излишних наворотов, без прожорливости до ресурсов, без необходимости искать софт по говносайтам (когда уже МС сделает аналог AppStore?). Так что есть люди, которые хотят Линукс на своём десктопе. Вне зависимости от того, как к этому относятся бородатые админы.

UC>midl, не трогайте Линукс. Он не для вас. Каждому — свое. Кому опера нравиться слушать, а кому Дом2 смотреть. Каждому — свое.

Ага. Дом2 под Линуксом в самый раз смотреть.

Здравствуйте, UBUNTU-CPAHb, Вы писали:

M>>Он непривычный сточки срения любого нормального человека.(укушенные пингвином не всчет)

UC>Из вас комплексы прут. Стремление оскорбить группу людей такими фразами, как "укушенные пингвином" выдает в вас закомплексованного человека.
UC>Сильному человеку самоутверждаться за счет других нет смысла. Он и без этого в себе уверен.
Своими неумелыми попытками корчить из себя психолога неплохо веселишь окружающих. Жги еще!

M>>не путай десктопы и сервера.

UC>Вот именно! Не надо мерить все своим домашними компьютером. Домашний рассчитан на использование домохозяйками и школотой. Поэтому он такой. С визардами.
Ты в своей жизни пользуешься исключительно серверами? И инет дома серфишь исключительно на серверах, и прогаешь? Я всегда знал что укушенные пингвином такие извращенцы

UC>Есть еще не знакомый для вас мир серверов.
Я тебе уже говорил чтоб выкинул свой телепатический модуль. Он брешет больше чем синоптики

UC>Опять речь про домохозяек, школоту и домашние компьютеры.
UC>У Линукса другие задачи. Представь админа у которого в стойках сотня серверов. Он, что будет с каждым сервером сидеть и ловить всплывающие сообщения визарда?
Вот за это спасибо, когда в очередной раз ктонить начнет втирать что убунта это десктопная ось для нормальных пользователей, буду давать ссылку на твое сообщение.

UC>midl, не трогайте Линукс. Он не для вас. Каждому — свое. Кому опера нравиться слушать, а кому Дом2 смотреть. Каждому — свое.
Как бородатые задроты ревнуют свою цацу Лучшеб с девушками занимался сексом, а не с линуксом

Здравствуйте, Mazay, Вы писали:

M>Здравствуйте, midl, Вы писали:

UC>>>Если приложение должно лазать по произвольным IP адресам (скажем браузер, торрент, скайп) — оно потенциально опасное. Такое приложение надо запускать от другого юзера. Для него более вольные правила в фарволле, зато локальные права более жестко ограниченные, чтоб такое опасное приложение локально не смогло вред нанести.
M>>Ну так делайте все это в фаерволе Юзеру не надо знать все эти подробности, ему надо чтоб все работало при минимальном гиморе
M>Это утопия. Если пользователь не понимает, что можно разрешать разрешать приложению, а что нельзя, то он не сможет правильно настроить фаервол даже с супердружественным GUI. Что, никогда не видел как пользователи кликают "Разрешить" даже не прочитав, что им пишет симпатичное всплывающее окошко фаера?
Не передергивай, одно с другим не связано Если человек знает что можно разрешить, а что нет, это еще не значит что он предпочтет полдня трахатся с конфигами и сниферами вместо того чтоб за минуту все настроить в удобной гуишке

Ты делишь все на черное и белое — либо тупая домохозяйка вообще не думающай что нажимает, либо бородатый админ. Между ними есть куча промежуточных градаций
M>Если мы говорим о совсем глупом юзере, то для него фаервол должен настраивать админ, которому проще один раз сесть и наваять список правил iptables.
Счего ты взял что в гуишных фаерах нет функции импорта-экспорта конфига?
M>Если мы говорим о юзере понимающем, что происходит у него на компьютере, то для него конфиг iptables гораздо понятнее, чем нагромождения окошек, табличек и иконок. В конфиге можно комменты писать, можно сделать поиск, можно скопипастить кусок, можно забэкапить, можно грепнуть и т.д.
Опять таки, счего ты взял что всего этого нет в гуишном фаере?
M>Реально iptables не хватает только всплывающих сообщений о блокировках сетевых пакетов и программ. Хотя бы через Gnome Notification.
А это важная функция для десктопного фаервола, без он неюзабельный Это чисто серверный фаер, на десктопе его невозможно юзать без этого.

M>Ты в своей жизни пользуешься исключительно серверами? И инет дома серфишь исключительно на серверах, и прогаешь?

Причем здесь моя персона?
Для UNIX систем целевая аудитория — это сервера и встраиваемые системы.
На десктопе применение ограниченно. На корпоративный десктоп устанавливают и настраивают Linux бородатые админы.
На домашний десктоп тоже ставят себе админы. Они к нему на работе привыкли и дома для них проще и понятнее Linux.

M>Вот за это спасибо, когда в очередной раз ктонить начнет втирать что убунта это десктопная ось для нормальных пользователей, буду давать ссылку на твое сообщение.

Здесь я с тобой полностью согласен и поддерживаю однозначно!!! Дай лапу.
Слово Убунта у меня вызывает лютую ненависть. Зачем они пытаются сделать Linux для школоты? Зачем они скрещивают Linux со свистоперделками? Зачем скрещивать ежа с ужом?


M>Как бородатые задроты ревнуют свою цацу Лучшеб с девушками занимался сексом, а не с линуксом

Фантазии закомплексованного человека.
В реальности, бородатые админы, кого лично знаю. Для них это работа. Они за нее получают зарплату. Хороший админ на работе большую часть времени пинает балду. А после работы у него семья.

Здравствуйте, midl, Вы писали:

M>>Реально iptables не хватает только всплывающих сообщений о блокировках сетевых пакетов и программ. Хотя бы через Gnome Notification.
M>А это важная функция для десктопного фаервола, без он неюзабельный Это чисто серверный фаер, на десктопе его невозможно юзать без этого.

Короче, если тебе реально нужен фаер на линуксе на десктопе, то могу посоветовать только заблокировать все порты своему юзеру в iptables, включить логгинг блокируемых пакетов и запустить в отдельной консоли tailf. По мере блокирования пакетов, включать разрешения. Ничего более дружественного я не знаю.

Здравствуйте, midl, Вы писали:

M>Он непривычный сточки срения любого нормального человека.(укушенные пингвином не всчет).

А с чего укушенные Билли считаются нормальными людьми?

Здравствуйте, ambel-vlad, Вы писали:

M>>Он непривычный сточки срения любого нормального человека.(укушенные пингвином не всчет).
AV>А с чего укушенные Билли считаются нормальными людьми?
Щас разве что балмером. Билли уже давно не при делах.

Здравствуйте, Mazay, Вы писали:

M>Реально iptables не хватает только всплывающих сообщений о блокировках сетевых пакетов и программ. Хотя бы через Gnome Notification.

Можно сделать с помощью -j LOG или ULOG, а там хоть в Gnime Notification, хоть сразу на принтер.