与使用 IPTables 相比,我对具有高级功能的 Windows 防火墙有更多的经验。借助 WFAF,我能够锁定程序,以便它只能通过特定协议通过特定端口连接到特定 IP 地址(而不是基本上只是说“端口 80 上的传出连接没问题。”)确定如何使用 IP 表复制它。谁能提供一些快速而肮脏的技巧?例如,假设我希望 Firefox 只能使用端口 80 和 443,我该怎么办?
答案1
借助 WFAF,我能够锁定程序,使其只能通过特定协议通过特定端口连接到特定 IP 地址
该功能将是 SELinux 的组合端口号访问控制用于 HBAC 和协议检查的 netfilter/iptables 防火墙。
我对 SELinux 的了解还不够,无法为您提供完整的策略示例,但本质上您会标记程序(如果还没有)并配置在该域中运行的进程,以便它们只能绑定到特定端口。
例如,假设我希望 Firefox 只能使用端口 80 和 443,我该怎么办?
我不是专家,你真的可以用 Windows 防火墙做到这一点吗?在 Linux 上,您可以找到以下解决方案根据 SELinux 类型标记数据包DROP
然后,您可以根据 SELinux 类型创建过滤决策(例如针对未经批准的目标端口的数据包)。
也就是说,你可以做到。这可能并不容易。我也不知道有多少地方需要这种极其精细的访问控制级别。