Wie blockiere ich einen Port bei Firewalld?

Nicht Person X sondern Programm Y soll ins Internet dürfen oder halt nicht!
Im Beitrag 25 habe ich schon versucht, ein Beispiel zu formulieren.

Also:
Beim erstmaligen Start des neu installierten Computers ist allen Programmen der Internetzugang verboten.
Egal, wer die Programme startet! Ob User X, Y, Z oder root....... egal!

Wenn nun ein Programm, entweder selbstständig oder vom Anwender aktiv gewünscht, startet, ploppt ein Fenster auf und fragt:

Soll Programm "SuperduperAnwendung" ins Internet dürfen ja oder nein?

Sagt nun der Anwender "Ja", hat das Programm (unter dem aktuellen Benutzer) eine Datenverbindung bis in alle Ewigkeit, bei "Nein" halt nicht.
Nachträglich kann diese Entscheidung natürlich geändert werden. (gegebenenfalls mit root-Passwort)

Man mag diese Lösung für ein Mehrbenutzersystem gut finden oder auch nicht.
Wirklich schlecht finde ich sie auf einem Privat-PC, der von 1 Person (die auch noch das root-pw kennt) genutzt wird, nicht!
Auf diese Weise kann kein Programm, auch kein "unbemerkt" installiertes welches, unbemerkt ins Internet und Schaden anrichten.

Jedes Programm (auch irgendwelche Hintergrunddienste) muss zuerst (einmalig) nachfragen! Heimlich geht da nichts.

Bei Verwendung von iptables und firewalld muß ich (oder der Admin) vorher wissen, was gesperrt werden soll und es auch tun.
Bei AppAmor ebenso.

Bei der gewünschten Lösung muß man das nicht.
Man braucht keine Portlisten oder Services oder was auch immer kennen.

Ich habe so eine "Firewall" auf meinem Androiden, und sie funktioniert perfekt!
Man kann auch Profile einrichten, a la:
- Zuhause im Wlan alles offen
- unterwegs über LTE/UMTS alles zu außer Whatsapp und Signal als Messenger
- in fremdem Wlan alles offen außer Onlinebanking und unverschlüsselte Email-Konten....
.........

Das funktioniert prächtig!

Seltsam. Ich dachte, @K_OSEL wäre der Threadersteller und an ihn war meine Frage gerichtet. So kann man sich irren.

Du irrst nicht.
K_OSEL ist derThreadersteller.
Ich wußte nur nicht, dass man hier nicht untereinander (natürlich beim Thema des Threads bleibend) diskutieren soll/darf.

In Zukunft werde ich mich ein wenig zurücknehmen und bitte vielmals um Entschuldigung!



Aufrund der Antwort K_OSELs auf einen Beitrag von mir....:

... dachte ich, ich könne es nochmals versuchen zu erklären.

Aber ich bin lernfähig und somit raus aus diesem Thread.

Moin zusammen,

die Lösung ist simpel ... Squid Proxy ist Dein Freund.

AppArmor ist ....... gewöhnungsbedürftig ... .bestenfalls.

Und das wird so nicht funktionieren, denn dafür bedarf es root....

Natürlich. Darum schrieb ich auch


Ich weiß, dass diese Lösung hier nicht beliebt ist und, wie mir scheint, auch nicht wirklich verfügbar ist,
sie funktioniert aber auf (wie ich oben schrieb) einem privaten Rechner, bei dem der einzige User auch das root-Passwort kennt.
Auf einem Single-User-System geht das so ganz gut. Ich sage nicht, dass es so auf einem Linux-Rechner wünschenswert wäre!
Darum auch mein Hinweis an den TE, dass er vermutlich vergeblich suchen wird. So wie er sich das vorstellt, geht es vermutlich nicht.


PS: Auf einem Androiden (mit modifiziertem Linux-Kernel) geht das auch ohne Root. Aber das ist ein anders Thema. Hier geht es ja nicht um Android.